CIS RAM：如何合理地承受风险？

　　在笔者自己来看，个人对网络安全风险可以是偏执狂心态，但对于企业组织而言，成本是实实在在的一道坎。互联网安全中心（CIS）也有同样的观点。

　　为了使企业组织更好地应用CIS关键控制措施，CIS会同HALOCK安全实验室（https://www.halock.com/），编制了CIS风险评估方法（Risk Assessment Method，RAM），以便简化企业组织能基于事件指引去达到合理的风险承受能力。

　　如果你作为企业组织的网络安全负责人员，所管理的企业组织被入侵而导致形成案件，进而进入到案件诉讼阶段，你将被要求证明你或者你所在的企业做到了“应有关注”（due care），这是法官们用来描述“合理性”的语言。或者更通俗一点，“尽职尽责”。

　　因此，企业必须采取保障措施，确保风险在入侵事件发生时，对于企业自身以及其它相关方面都是在合理控制的范围内。

　　CIS RAM可以帮助您的企业展示自己已经做到了“应有关注”。

　　CIS和HALOCK安全实验室共同开发了CIS风险评估方法(CIS Risk Assessment Method，RAM)，以帮助企业证明合理实施CIS控制措施的投资合理性。CIS RAM帮助企业定义其可接受的风险水平，并对CIS控制措施进行优先级排布和实施，以管理风险。

　　尤其是，网络安全问题会影响到各种相关方，对于企业内的信息安全专业人员，需要同时满足这些相关方，而所有这些各方的关注点都会有区别。因此，如何能同时满足和实现这些相关方所关切的要点，对信息安全人员构成了一系列的工作挑战。

　　典型情况比如：

　　而如果通过常规的方式，比如差距评估、审计和成熟度评估等，意味着你的差距需要被完全弥补。

　　CIS RAM通过以下方式解决了这些挑战：

　　1、CISRAM提供了一种通过计算对客户、业务目标和外部实体（监管机构、供应商等）的影响的预期，从而评估风险的方法。

　　2、CISRAM提供了一种方法，定义出企业“可接受的风险”，并以之为界线。线以下的风险遵循“应有关注”原则，线以上的作为需要面对和处理的（会发生的）风险。

　　以上方法原理为企业提供了一个简洁和可防御的过程来接受或处理风险。

　　在当前版本的CIS RAM 2.1中：

　　1、引入工作簿定义，自动化了使用人大量的风险分析过程，更快地获得结果。

　　2、CIS RAM 2.1 通过把被报告的威胁的共性与防止这些威胁所需要的CIS保障措施的工作强度相比较，来评估风险预期。

　　3、通过使用Veris社区数据库(Veris Community Database，VCDB，http://veriscommunity.net/vcdb.html)，CIS RAM引入了一种基于证据的启发式方法来评估期望。

　　风险分析有助于形成和定制控制措施，以解决企业面临的内部和外部挑战。企业往往依赖于差距评估来确定其漏洞的严重性。CIS RAM 使您能够应用适当数量的安全性，在保持企业安全和确保您能够正常开展业务之间取得平衡。

　　如果纠正所有评估出来的缺口和缺陷，可能会导致过度安全和过度投资。只纠正通过CIS RAM评估所确定的风险，可以达到适当程度的安全性和投资额的平衡效果。

　　在企业组织发生被入侵、因安全而起的诉讼，或被监管审计时，企业所获取的安全认证比如PCI DSS、ISO27001等也许会有所帮助，但如果能通过强有力的风险评估过程，证明企业已经实现了尽职尽责、适当谨慎，那更重要。

本页网址二维码：