跳至主要内容

什么是风险管理框架?

创建 AWS 账户
什么是风险管理框架? 为什么结构化风险管理至关重要? 风险有哪些类型? 有哪些常见的风险管理框架? 有效风险管理框架的核心组成部分是什么? 在 AWS 上实施风险管理框架的步骤是什么? AWS 可以如何帮助您开始构建风险管理框架?

什么是风险管理框架?

风险管理框架是一种按顺序进行结构化、基于规则的有据可查的方法,用于帮助检查、降低和监控组织内的风险。组织选择标准化框架或创建自己的框架,而非采用临时性流程来应对风险。通过使用框架,在发生意外事件时,您可以更有信心实现更优结果与更快速响应。

为什么结构化风险管理至关重要?

风险管理是治理、风险与合规性(GRC)业务领域的一项职能,通常隶属于网络安全或合规部门。贵组织处理风险的方式可能对业务连续性、运营、监管合规性及声誉至关重要。风险管理框架可帮助您识别、评估、缓解和跟踪整个组织的风险。 

风险有哪些类型?

风险可能会影响组织、业务线和业务资产。这包括运营风险、业务风险、合规风险、网络安全风险、法律风险、并购风险、隐私风险、硬件风险、软件风险和合同风险。虽然公司通常关注网络风险,但其他类型的风险也不容忽视。本文档将主要探讨适用于云的运营风险、业务风险及合规风险。

运营风险与基础设施的可用性、可靠性、性能及安全性有关。该风险类别对日常运营最为重要。

业务风险与声誉、竞争力及市场状况有关。此类风险覆盖范围广于运营风险,对业务的整体影响更为深远。

合规风险是指业务运营无法满足要求的监管合规标准的可能性。此类风险可能导致罚款、制裁、法律后果或增加审计与报告要求。合规目标源自行业标准、联邦机构和其他监管机构。

有哪些常见的风险管理框架?

常见的风险管理框架包括:

  • 美国国家标准与技术研究院(NIST)信息系统与组织风险管理框架(RMF)
  • COBIT
  • ISO/IEC 31000 风险管理 – 指南
  • ISO/IEC 27005:2022 信息安全、网络安全和隐私保护 – 信息安全风险管理指南
  • 信息风险因子分析

建议使用已知且定期更新的风险管理框架,以保持最新的风险管理最佳实践。

有效风险管理框架的核心组成部分是什么?

稳固的风险管理框架有助于管理组织内所有类型的风险。

风险识别

识别组织架构中的所有资产、威胁和漏洞。风险是指由漏洞引起的对资产构成的威胁。识别潜在风险可能是一个漫长的过程,涉及多个组织维度和业务目标。

您可以将风险分为技术、人员、流程、财务或第三方等类别。您也可以细分这些较广泛的类别;例如,将“人员”类别进一步细分为技能、手动错误和知识孤岛。

影响分析

通过分析您的资产、威胁和漏洞,您可以确定潜在风险发生的概率和影响程度。分析和风险评估包括定性和定量两种衡量方式。例如,您可以收集有关特定类型风险的所有详细信息,或者建立风险评分矩阵来对风险进行分类,从而确定后果和缓解策略。根据事件发生概率和预期影响,这些类别的风险评分可分为低、中、高和极高等四个等级。

缓解策略

以下是用于应对各特定风险的四种风险缓解策略:

  • 缓解:实施控制措施以消除或降低风险
  • 接受:接受风险现状,同时密切监控风险发生概率或严重程度的变化
  • 规避:消除风险并重新配置系统
  • 转移:外包风险相关职能,制定合同缓解措施或投保防范事件

除风险关键性和发生概率外,组织风险偏好也可以帮助确定合适的策略。

解决方案实施

根据所选的缓解策略,您可以应用控制措施、实施系统变更、引入监控解决方案以及外包风险。控制措施可分为管理型、物理型或技术型。该阶段可能涉及多个系统、业务部门、利益相关者和多步骤流程以达成预期效果。

风险缓解解决方案可以包括风险升级流程、风险责任人机制以及协同事件响应团队制定事后处置计划。

实施解决方案后需计算残余风险。大多数解决方案无法完全消除风险,因此存在残余风险。该残余风险可能会随着条件的变化而波动。

治理与持续监控

实施风险缓解解决方案后,您必须在必要时监控、跟踪、分析和审计风险。您必须在风险跟踪流程中建立面向风险负责人、GRC 团队及领导层的报告机制。

在治理框架内,应设置按需安排和定期安排的流程,以识别业务面临的新风险和不断升级的风险。应制定风险管理相关政策,明确重新评估当前流程的频率,并为相应的团队成员提供培训。实施防护措施以帮助自动防止相同类型的风险再次发生。

在 AWS 上实施风险管理框架的步骤是什么?

本指南将向您展示如何实施与典型风险管理框架各阶段相一致的 AWS 管道。

风险管理流程的每个阶段均采用以下三项关键 AWS 服务提供支持:

  • AWS Audit Manager,用于持续审计您的 AWS 使用情况,以简化风险与合规性评估
  • AWS Config,用于评估、审计和评价您的资源配置
  • AWS Security Hub,用于通过自动化关联和增强型风险上下文以及安全态势报告等,对您的关键安全问题进行优先级排序

1.计划

计划阶段旨在确保组织为建立最佳实践风险管理流程奠定坚实的基础。

计划使用以下服务开展最佳实践风险管理活动:

2.发现

发现阶段将发现并标记您的资产、资源和服务。

要发现您的资产并对其进行分类,请使用以下 AWS 服务:

3.控制措施与规则选择

选择阶段将引入控制措施和规则,以防范已识别的风险。

从以下 AWS 服务中预定义的最佳实践规则中选择控制措施:

  • AWS Config 托管规则,这些规则是预定义的、可自定义的规则,AWS Config 使用这些规则来评估您的 AWS 资源是否符合常见的最佳实践
  • AWS Control Tower 和 AWS Security Hub,用于安全性控制,以及 AWS Audit Manager,用于策略合规性控制。
  • AWS Systems Manager Compliance 是 AWS Systems Manager 中的一个工具,您可以在其中根据 IT 或业务需求创建自己的合规性类型和定义

4.实施

实施可确保控制措施在所有所需资产和环境中得到一致应用。

您可以在 AWS 服务中使用以下控制措施实施工具:

  • AWS CloudFormation(用于嵌入式控制措施部署)与 AWS Service Catalog 相结合,可创建、共享、组织和管理精选的 IaC 模板
  • AWS Config,用于控制规则和后续步骤
  • AWS Security Hub,用于安全规则实施
  • AWS Systems Manager,用于跨资源和服务的策略遵守

5.评估

评估衡量应用的控制措施在实践中的表现。

您可以使用以下 AWS 服务组合来评估贵组织的风险管理成效:

  • AWS Audit Manager,用于可追溯评估
  • AWS Config,用于检查合规性规则
  • Amazon Detective,用于分析和直观呈现安全数据,以调查潜在的安全问题
  • Amazon GuardDuty,用于对 AWS 账户、工作负载和数据执行持续威胁监控
  • AWS Inspector,用于执行自动化漏洞风险评估
  • AWS Security Hub,用于不间断安全风险评估

AWS Trusted Advisor 是组织建立风险管理框架的另一种选择。AWS Trusted Advisor 服务提供成本优化、性能、安全性、容错能力、服务限制和卓越运营等方面的检查。您可以通过控制面板查看提示、建议的操作和其他资源。AWS 客户可以在以下地址访问该工具:https://console.aws.amazon.com/trustedadvisor/home

6.授权

授权功能将方法、先前步骤以及对残余风险和监控的接受进行了规范化。

使用以下 AWS 服务放心地进行授权:

  • AWS Artifact 生成 AWS 和 ISV 安全性和合规性报告
  • AWS Audit Manager 为决策者提供报告
  • AWS Config 详细说明合规性报告和跟踪
  • AWS Security Hub 实时展示系统安全状态与报告

7.监控

持续监控可确保风险管理流程保持最新状态,并纳入新出现的和不断变化的风险。

使用以下 AWS 服务实现持续监控:

  • AWS CloudWatch,用于监控应用程序、提示异常情况以及提供有关运营状况的洞察以保证合规性
  • AWS Config,用于持续合规性监控
  • Amazon EventBridge,用于根据其他 AWS 服务中的触发器创建自动响应
  •  AWS Security Hub,用于持续安全监控
  • AWS Systems Manager,用于补丁和配置监控

AWS 可以如何帮助您开始构建风险管理框架?

寻求提高组织弹性和绩效的组织应实施风险管理框架。风险管理框架有助于降低和了解企业面临的风险,使这些未知因素更易于管理。

选择标准化框架并在其上进行构建是很好的开始方式,AWS 提供多项服务可促进框架实施。结合使用 AWS Well-Architected Framework,您可以在 AWS 上为治理、风险和合规性建立坚实基础。

立即创建免费账户,开始在 AWS 上构建您的风险管理流程。