風險管理中的風險場景

趙立軍 2024-10-28

概述

2022年10月，國際標準化組織ISO發(fā)布了ISO/IEC 27005:2022《信息安全網(wǎng)絡(luò)安全和隱私保護信息安全風險管理指南》。該標準中，增加了一個新的術(shù)語：“風險場景（risk scenario）”，并且在后續(xù)的條款中多次引用。那么，什么是風險場景？為什么新增風險場景？風險場景如何編寫？本文就這些問題對風險管理中的風險場景談談筆者個人的看法。

01  風險場景的定義和使用

在風險管理中，風險場景是指可能發(fā)生并影響企業(yè)實現(xiàn)其經(jīng)營目標的一系列事件或情況。這些場景通常涉及不確定性，并且可能導致正面或負面的影響。風險場景的概念出現(xiàn)在很多風險框架中。例如，國際信息系統(tǒng)審計協(xié)會（ISACA）的風險IT [1]、美國國家標準與技術(shù)研究院（NIST）風險管理框架RMF[2]、美國反虛假財務報告委員會下屬發(fā)起人委員會（COSO）、企業(yè)風險管理ERM等，都涉及到風險場景。ISO/IEC 27005將風險情景定義為“由最初的起因?qū)е虏黄谕蠊氖聭B(tài)序列或組合”。從定義可以看出，風險場景由起因和事態(tài)兩部分構(gòu)成。風險場景定義之后，ISO ISO/IEC 27005分別在“信息安全管理循環(huán)”、“風險識別“、“信息安全風險分析”、“選擇適合的信息安全風險處置選項”、“監(jiān)視和評審”和附錄中均使用了風險場景的概念，特別是附錄中添加了大量對風險場景的描述?？梢?，對于ISO/IEC 27005風險場景的理解非常重要。只有正確、全面理解風險場景，才能對新版的ISO/IEC 27005有更為清晰的認識，更好地指導風險管理工作的開展。

02  風險場景的目的

通常，在風險框架中，風險場景的目的一是幫助決策者理解不利事件是如何影響組織戰(zhàn)略目標的。二是構(gòu)建風險場景，為進行下一步的風險評估提供輸入。在ISO/IEC 27005標準中，風險場景與風險評估和風險處置密切相關(guān)。風險場景必須清晰定義哪些因素會導致不利事件頻繁發(fā)生以及產(chǎn)生后產(chǎn)生的嚴重后果，并對這些因素進行分解。

03  風險場景的編寫

風險場景對風險評估和風險處置非常重要，必須對風險場景進行編寫或表述。風險場景的編寫通常用敘述性的語言，有多種不同的格式，例如：

（1）國際信息系統(tǒng)審計協(xié)會（ISACA）使用的風險場景編寫格式：由[原因]引起的[對目標有影響的事件]導致了[后果]
（2）OpenFAIR（The Open Group, 領(lǐng)導廠商中立的開放的技術(shù)標準和認證的開發(fā)）使用的風險場景編寫格式是：[威脅發(fā)起者]通過（可選）[方法]對[資產(chǎn)]造成了[影響]

兩種場景編寫格式大同小異，但都覆蓋了ISO/IEC 27005中所描述的起因和事態(tài)兩部分內(nèi)容。

在ISO/IEC 27005中，風險識別提出了兩種方法，即基于資產(chǎn)的方法和基于事態(tài)的方法，這兩種方法都可以形成風險場景?？梢钥紤]采用下圖來描述風險場景，由五個部分組成：發(fā)起人、威脅類型、事態(tài)、資產(chǎn)/資源和時間。
風險場景描述

在ISO/IEC 27005中引入風險場景的概念，為組織和相關(guān)方理解是什么原因?qū)е铝孙L險的發(fā)生，如何在組織內(nèi)外部環(huán)境不斷變化中開展風險管理，起到積極、基礎(chǔ)和重要的作用。

參考文獻
[1] https://www.isaca.org/resources/it-risk
[2]https://csrc.nist.gov/projects/risk-management/about-rmf
[3] https://www.coso.org/pages/erm.aspx

——CISAW 風險管理認證方向——

信息安全保障人員認證（CISAW）風險管理方向是中國網(wǎng)絡(luò)安全審查認證和市場監(jiān)管大數(shù)據(jù)中心針對網(wǎng)絡(luò)與信息安全風險管理領(lǐng)域的中高級專業(yè)技術(shù)人員和管理人員開展的人員能力認證。通過風險管理方向認證，證明持證人員滿足《信息安全保障人員認證準則》的要求，具備網(wǎng)絡(luò)與信息安全風險管理領(lǐng)域的專業(yè)知識和技能。CISAW風險管理方向綜合考查認證申請人員在網(wǎng)絡(luò)與信息安全風險管理領(lǐng)域?qū)︼L險管理標準、風險管理原則、框架和過程（包括環(huán)境建立、風險識別、風險分析、風險評價和風險處置）等知識的掌握程度，運用風險管理方法解決實際問題的技術(shù)水平。

風險場景風險管理

上一篇：企業(yè)開展個人信息保護合規(guī)審計的必要性

下一篇：短信平臺入侵事件引發(fā)的網(wǎng)絡(luò)安全應急響應分析