安全是一種人員、流程和技術的功能對于安全和風險管理專業人員來說不是一個秘密。但是，當涉及到開支的時候，歷史數據卻講述了不同的故事。大多數機構過去不適當地把安全開支的很大比例用在了技術方面，基本上依賴基于產品的方法來解決自己的安全問題。

　　應用技術也許比改變員工的思想或者在機構內部實施嚴格的流程更容易。但是，技術本身也許并不是非常有效的。在本期應用技巧中，我們將介紹機構在建立減少商業風險的框架方面可以采取的五個步驟。

　　第一步：理解和定義你的信息環境

　　要制定一個全面的信息風險管理框架，CISO(首席信息安全官)必須首先定義自己的職責。例如，市場研究公司Forrester Research的框架包含17個域，涉及到人員、流程和技術。但是，但是，自己定義這些域是沒有意義的，除非每一個域都有合適的控制以保證信息的機密性、完整性和可用性。

　　第二步：確定機密性、完整性和可用性的要求

　　一個企業并非所有的方面都需要同樣水平的保護。合同義務和立法規定也許會決定一些機構的商業控制。但是，對于許多其它企業來說，明智的判斷要求與業務部門的合作伙伴合作確定這個事情。當評估一個功能的重要性的時候，你要回答三個問題：

　　·這個功能的保密性如何?評估這個功能的數據庫突破對你整個公司業務的潛在影響。例如，聯邦貿易委員會的制裁通常是企業不太擔心的事情。企業名譽的損失和正在進行的法律糾紛通常會使企業付出更高的代價。

　　·這個功能的信息的準確性是不是非?？煽?下一步，評估數據被破壞的潛在的影響。這種數據是非常廣泛的。例如，客戶收到錯誤的藥品的案子比客戶技術支持投訴更難處理。

　　·如果這個功能在需要時卻沒有，后果是什么?時間幾乎永遠是金錢。你也許不擔心你的即時消息談話被竊聽，但是，每天帶來200萬美元收入的公司網站卻不能受到威脅或者被中斷網絡連接，即使就幾分鐘。

　　第三步：定義你的控制

　　在過去的幾年里，安全辦公室的任務顯著擴大了。首席信息安全官現在負責商業持續性、災難恢復和遵守法規等許多領域。還有一些首席信息安全官不直接負責的領域，如物理安全、應用程序部署和IT運營等。但是，這些功能對整個信息資產的安全有巨大的意義。首席信息安全官需要監督和制定所有這些業務部門的安全控制標準以便更有效地完成自己的工作。首席信息安全官應該基于框架的方法識別和衡量這些方面以便隨著時間的推移跟蹤他們的進展。

　　第四步：制定強制措施、監督和反應機制

　　一個信息風險管理框架必須保證這些控制措施是定義的、強制執行的、可以衡量的、監督的和報告的。對于這些控制措施不能充分減輕風險的地方，首席信息安全官必須保證減少這些風險，轉移這種風險或者把風險降低到可以接受的程度。

　　第五步：衡量和報告

　　市場研究公司Forrester在最近的調查報告中發現，大多數安全規則計劃仍處在早期階段或者規劃階段。受訪者表示，在制定他們的規則計劃的時候有兩個主要的挑戰：找到正確的規則并且把這個安全規則翻譯成商業語言。

　　許多安全經理把重點放在收集和報告戰術的和狀態更新信息方面。要制定一個成功的安全規則計劃，首席信息安全官需要根據商業目的和目標識別、優先安排、監督和衡量安全。然后，他們應該重點把這些規則翻譯成商業語言，讓管理層在制定商業決策的時候使用這些規則。

　　在我們的調查中，許多首席信息安全官感到為機構找到正確的規則的巨大努力令他們應接不暇。目前，大多數機構都有很好的安全政策、合適的技術以及流程來強制執行這些規則。還有一些監督和反應能力，但是，大多數機構目前都沒有好的安全衡量能力。衡量和報告依賴于安全政策，是你的安全計劃中的重要組成部分，永遠都不應該低估或者忽略。