組織了解其自身、資產和個人所面臨的網路安全風險
風險評估 (ID.RA)
子項目(2/2)
ID.RA-06
選擇、排序、規劃、追蹤和溝通風險應對措施
目的
識別和評估風險後須選擇應對措施
應對措施排序、規劃、追蹤、溝通
以確保風險得到有效管理
核心
措施
風險應對策略:風險減輕
目的
降低風險可能
降低風險影響
作法
修補漏洞
加強存取控管
風險應對策略:風險轉移
目的
作法
風險應對策略:風險避免
目的
作法
風險應對策略:風險接受
目的
接受風險存在
發生後去應急
作法
用於低可能性
用於低影響性
確定風險應對的優先順序
風險矩陣
處理高風險
制定行動計畫
時間表
預算
負責人
預期結果
溝通風險應對情況
利益關係者
溝通優先順序
溝通實施情況
溝通整體狀況
補償性控制措施
彌補現有不足
無法修漏洞
網路隔離
加強監控
舉例
金融業發現漏洞選擇修補漏洞
代表選擇風險減輕並與客戶溝通
ID.RA-07
管理、評估風險影響、記錄和追蹤變更和例外情況
目的
變更和例外情況是不可避免
進行妥善管理避免新風險與影響
核心
建立流程用於管理變更和例外情況
管理、評估風險影響、記錄和追蹤
措施
建立變更管理流程
變更類型
變更主體
評估變更的風險影響
識別新的漏洞
引入新的威脅
削弱現有措施
紀錄變更
已批准已實施
變更請求
風險評估
測試結果
實施計畫
回退計畫
追蹤變更
追蹤變更情況
實際影響安全
紀錄意外事件
定期檢查風險
建立流程管理例外情況
例外狀況
處理未經授權的變更
偏離已建立安全基準
進行處理
舉例
ID.RA-08
建立接收、分析和應對漏洞披露的流程
目的
建立流程用於管理漏洞公開與修補
接收、分析和應對來自內外的漏洞
及時了解和修復漏洞降低風險
核心
措施
建立接收漏洞披露的渠道
專用信箱
網路表單
回報潛在漏洞
指定責任單位
驗證和評估漏洞
是否誤判
真實與準確性
嚴重與影響
制定修復計畫,確定修復順序
實施修復措施
修補漏洞
更新軟體
更改設定
公開漏洞
漏洞披露政策
向大眾公開
與供應商共享
舉例
金融業推出漏洞賞金計畫
鼓勵資安人員回報漏洞
ID.RA-09
在採購和使用前評估硬體和軟體的真實性和完整性
目的
針對關鍵技術產品和服務安全
具備真實性且未經竄改
完整性得到保護,以防止供應鏈
核心
措施
使用名譽良好的供應商採購
信用好的廠商
驗證其來源
檢查完整性,避免被竄改
檢查軟體雜湊
檢查數位簽章
掃描惡意軟體
安全設定設備
設定強密碼
設定防火牆
關閉服務
監控設備資料
檢查安全性
真實性
網路安全性
舉例
ID.RA-10
在採購前評估關鍵供應商
目的
識別和減輕關鍵供應鏈潛在風險
確保供應鏈安全性並保護組織資產
核心
措施
識別關鍵供應商
關鍵基礎設施
重要軟體服務
處理敏感資料
進行風險評估
審查安全控制措施
存取控制
資料加密
漏洞管理
評估關鍵供應商的供應鏈
建立合約與條款
加入資安條款
遵守資安標準
提供事件報告
允許資安審查
舉例
以下哪一項不是ID.RA-06的實施範例?
a)應用弱點管理計畫的標準來決定是否接受、轉移、減輕或避免風險。
b)應用弱點管理計畫的標準來選擇補償性控制措施來減輕風險。
c)不記錄任何識別的風險。
d)使用風險評估結果來通知風險回應決策和行動。
答案
c
根據ID.RA-07,組織應如何處理變更和例外情況?
a)所有變更和例外情況都應被拒絕,以最大程度地降低風險。
b)變更和例外情況應經過管理、評估風險影響、記錄和追蹤。
c)變更和例外情況可以由任何人實施,無需記錄。
d)僅應追蹤重大變更和例外情況。
答案
b
ID.RA-08關注於建立用於接收、分析和回應弱點披露的流程。以下哪一項是滿足此子類別要求的有效方法?
a)忽視來自供應商、客戶和合作夥伴的弱點披露。
b)建立一個正式的流程,用於接收、分析來自各方的弱點披露,並在內部和與外部各方協調回應。
c)僅依賴自動化系統來接收和回應弱點披露。
d)僅在組織有足夠資源時才回應弱點披露。
答案
b
ID.RA-09強調在採購和使用之前評估硬體和軟體的真實性和完整性。以下哪一項不是ID.RA-09的實施範例?
a)在部署新軟體之前,驗證其雜湊值是否與軟體供應商提供的雜湊值相符。
b)僅從組織已知的且信譽良好的供應商處採購硬體。
c)在將新硬體連接到網路之前,不需要安裝防毒軟體。
d)驗證組織收到的軟體是否確實來自聲稱的供應商,並且在運輸過程中沒有被篡改。
答案
c
根據ID.RA-10,組織應在何時評估關鍵供應商?
a)在簽署任何合約之後。
b)僅在發現安全事件後。
c)在採購之前。
d)每五年一次。
答案
c
iThome鐵人賽
看影片追技術