知識內容

• 風險管理策略 (GV.RM) (1/2)

  • 組織的優先事項、限制、風險承受度和風險偏好陳述，
    以及假設會被建立、溝通，並用於支援營運風險決策。

  • GV.RM-01
    共議風險目標

    • 目的

      • 建立明確的網路安全風險管理目標

      • 為組織的網路安全工作提供了方向

      • 確保所有利害關係人都有達成共識

    • 核心

      • 建立明確可衡量可達成相關有時限
        的網路安全風險管理目標

      • 所有利害關係人都須同意這些目標

    • 措施

      • 年度策略規劃或發生重大變化

        • 要更新短中長期的資安目標

      • 針對資安管理定可衡量的目標

        • 針對提升員工資安培訓品質

        • 工業控制系統風險進行保護

      • 確保總經理等高階主管的目標

        • 與高階主管的目標達成一致

        • 用於衡量和管理風險和績效

  • GV.RM-02
    聲明風險尺度

    • 目的

      • 建立風險偏好以及風險容忍度聲明

      • 可為組織如何處理風險設定了界限

      • 讓關係人知道組織願意承擔的風險

    • 核心

      • 組織擁有明確傳達良好的風險偏好

      • 組織擁有明確的風險容忍度的聲明

      • 聲明指導決策與整體管理框架一致

    • 措施

      • 確定並傳達風險偏好聲明
        傳達對組織適當風險程度的期望

      • 將風險偏好聲明轉化為具體、
        可衡量和廣泛理解風險容忍度聲明

        • 可接受的財務損失

        • 資料洩露的規模

        • 系統停機時間

      • 定期根據已知的風險暴露和
        剩餘風險完善組織目標和風險偏好

  • GV.RM-03
    整合風險管理

    • 目的

      • 資安風險整合到企業風險管理流程

      • 確保資安的安全風險不會孤立看待

      • 實現更有效決策、資源分配和協調

    • 核心

      • 網路安全風險管理應被視為企業風險管理的一個組成部分，從而實現更全面和有效的組織風險管理方法

    • 措施

      • 將資安風險與其他風險彙整與管理

        • 合規性,財務,營運,法規,聲譽,安全

      • 資安人員納入企業風險管理規劃

        • 參與組織的整體風險管理流程

        • 在風險評估、風險處理和風險監控等方面提供專業知識

      • 建立在企業風險管理中
        升級網路安全風險的標準

        • 當網路安全事件可能對組織的財務狀況、聲譽或運營造成重大影響時，應將其升級到企業級別進行處理。

      • 整合網路安全風險管理和
        企業風險管理的資源

        • NIST IR 8286、 SP 800-221

  • GV.RM-04
    制定應對策略

    • 目的

      • 建立明確的風險應對策略

      • 為組織應對資安風險提供了路線圖

      • 確保一致決策助於在風險承受能力範圍內保持組織的營運

    • 核心

      • 組織需要一套明確且傳達良好的風險應對策略，該策略概述各種情況下的
        適當行動方案，並與組織的風險承受能力和戰略目標保持一致

    • 措施

      • 為各種資料分類指定
        接受和避免網路安全風險的標準

        • 高度敏感的資料

          • 選擇避免風險

        • 不太敏感的資料

          • 選擇接受風險

      • 確定是否購買網路安全保險

        • 幫助組織轉移部分網路安全風險

        • 需要仔細評估保險範圍和成本

      • 記錄可接受共用責任模型的條件

        • 將某些網路安全功能外包

        • 讓第三方代表組織執行金融交易

        • 使用基於公有雲的服務

小試身手

• 以下哪一項最能描述 GV.RM-01 強調的網路安全風險管理目標制定過程？

  • a) 由資訊安全部門主管單獨制定目標。

  • b) 組織中所有相關的利害關係人共同參與制定和同意目標。

  • c) 目標制定主要依據外部法規和合規性要求。

  • d) 目標設定後，不需變更，以確保一致性。

  • 解答

    • b

      • GV.RM-01 強調，建立明確的網路安全風險管理目標，需要所有利害關係人（例如員工、主管、合作夥伴等）共同參與制定和同意，才能確保目標與組織的整體任務、目標和風險偏好一致，並更容易被執行。

• 風險偏好和風險容忍度聲明在組織的網路安全風險管理中扮演什麼角色？(GV.RM-02)

  • a) 作為績效考核和獎懲制度的依據。

  • b) 為組織如何處理網路安全風險設定界限，並讓利害關係人了解可接受的風險程度。

  • c) 用於規避所有潛在的網路安全風險。

  • d) 僅供資訊安全部門內部參考使用。

  • 解答

    • b

      • GV.RM-02 強調建立風險偏好和風險容忍度聲明，是為了設定組織在網絡安全風險管理上的邊界，並明確告知利害關係人組織願意承擔的風險程度，而非用於績效考核、規避所有風險或僅供內部參考

• 以下哪一項行動最符合 GV.RM-01 中「風險管理目標由組織利害關係人建立和同意」的精神？

  • a) 資訊安全部門自行制定風險管理目標，並要求所有員工遵守。

  • b) 直接採用業界標準的網路安全風險管理目標，無需內部討論。

  • c) 組織舉辦網路安全風險管理研討會，邀請管理層、員工代表和外部合作夥伴共同參與討論，並就風險管理目標達成共識。

  • d) 由組織的執行長（CEO）全權決定風險管理目標。

  • 解答

    • c

      • GV.RM-01 強調所有利害關係人共同參與制定和同意風險管理目標，選項 (c) 舉辦研討會讓各方參與討論並達成共識的做法最符合其精神。

• GV.RM-03 強調將網路安全風險管理整合到企業風險管理流程中的原因為何？

  • a) 簡化風險管理流程，降低管理成本。

  • b) 確保網路安全風險不會被孤立看待，而是與組織整體風險概況一併管理，促進更有效的決策和資源分配。

  • c) 為了滿足法規和合規性要求。

  • d) 提升組織的網路安全保險評級。

  • 解答

    • b

      • GV.RM-03 強調整合網路安全風險管理和企業風險管理流程，是為了更全面、有效地管理組織風險，而非僅僅為了簡化流程、滿足法規或提升保險評級。 將網路安全風險納入整體風險管理框架，能幫助組織更有效地配置資源，並在不同風險之間取得平衡。

• 以下哪一項 不是 GV.RM-02 中建議的建立風險偏好和風險容忍度聲明的方法？

  • a) 確定並傳達對組織適當風險程度的期望。

  • b) 將風險偏好聲明轉化為具體、可衡量和廣泛理解的風險容忍度聲明。

  • c) 將所有網路安全風險外包給第三方供應商。

  • d) 定期根據已知的風險暴露和剩餘風險完善組織目標和風險偏好。

  • 解答

    • c

      • GV.RM-02 鼓勵組織主動管理風險偏好和風險容忍度，而不是將其外包。 風險偏好和風險容忍度是組織自身的決策，外包給第三方無法準確反映組織的實際情況。