每家公司的安全之旅都是独一无二的。可能影响您的目标安全配置文件的因素包括操作风险、独特的操作工作流程、政策、程序、风险容忍度等。
遗憾的是,要做到 100% 无风险是不可能的。目标应该是根据您独特的操作环境建立一个可容忍的风险水平。
提升您的工业信息安全实力或态势的过程可能看起来很复杂,但有充分的理由。由于市场上有许多不同的方法、行业标准和可用技术,前进的道路可能并不明确。您可能想知道:"我们从哪里开始?"
开始这一过程的一种方法是使用安全评估。安全评估最简单的形式是对系统或组织安全态势的结构化度量。
如果使用得当,评估可以成为一种极其有效的方法,能够评估您当前的安全态势、确定当前状态与理想目标状态之间的差距,并制定实现目标安全态势的明确步骤。
评估类型
“安全评估”一词可以有许多不同的含义,因此,根据计划的意图适当地确定评估范围非常重要。最常见的评估类型可能会产生不同的结果,这些结果可能会影响您在安全计划中采取的步骤。
- 漏洞评估:识别环境中存在的已知漏洞,以便制定行动计划来纠正它们。
- 差距分析:确定组织现有安全态势与其安全态势的理想目标状态之间的差距。差距分析通常考虑公司或行业标准,旨在明确定义实现所需目标安全态势所需的步骤。
- 风险评估:提供更全面的组织安全态势视图。风险评估结合了漏洞评估和差距评估的要素,以根据组织的风险容忍度及其理想的安全态势识别和评估已知风险。
- 安全审计:这种基于评估的服务根据给定的行业标准或要求机构审计组织的安全态势和实践,通常有助于确保合规性,例如 NERC-CIP 或其他标准。
请记住,虽然以上是常见的安全评估类型,但在进行选择之前,首先了解预期目标非常重要。这对于帮助确保适当的期望保持一致并得到满足至关重要,并且选择最有效的评估来推进您的网络安全计划。
面对现实
在考虑哪种类型的评估适合您的组织时,请记住评估是某个时间点的快照。它不应被视为组织安全计划的唯一解决方案。相反,它就像定期检查,以确认维护、管理和技术控制是否适合您的预期风险容忍度。
如果您正在处理有限的预算和有限的资源,并且无法在整个组织中进行评估,您可能需要采用“代表性样本”方法,将评估范围缩小到组织中可以提供基线的部分。
全面集成
安全评估可以成为评估您当前安全态势的有效工具,但必须正确选择、确定范围,并与可操作的路线图配合使用,该路线图列出了实现目标安全配置文件的明确、可操作的步骤。合适的提供商可以帮助您进行评估并构建强大的安全计划。
发布时间 2019年4月29日
