跳至主要內容

什麼是風險管理框架?

建立 AWS 帳戶

頁面主題

什麼是風險管理框架?

風險管理框架是一種按順序建構、基於規則、有據可查的方法,用於協助審查、降低,以及監控組織內的風險。組織並非採用臨時程序來應對風險,而是會選擇標準化的框架,或者建立自己的框架,。藉由使用框架,您可在發生非預期情況時,更有信心實現更好的成效,以及更快地做出回應。

結構化風險管理為何非常重要?

風險管理是管控、風險與合規 (GRC) 業務領域的職能,通常隸屬於網路安全或合規部門。組織應對風險的方式,對於業務持續性、營運、法規合規,以及聲譽都非常關鍵。風險管理框架有助於您確認、評估、緩解,以及追蹤整個組織的風險。 

風險類型有哪些?

風險可能對組織、業務領域,以及業務資產造成影響。這包括營運風險、業務風險、合規風險、網路安全風險、法律風險、併購風險、隱私權風險、硬體風險、軟體風險及合約風險。雖然公司通常會關注網路風險,但也不應忽視其他類型的風險。本文將主要介紹適用於雲端的營運風險、業務風險,以及合規風險。

營運風險涉及基礎結構的可用性、可靠性、效能,以及安全性。這一風險類​​別對日常營運至關重要。

業務風險涉及聲譽、競爭力,以及市場狀況。這一風險類​​別的範圍較營運風險更廣,而且對企業的整體影響可能更大。

合規風險是指企業營運未能達到監理合規標準的可能性。這一風險類​​別可能會導致罰款、制裁、法律後果,或者提高稽核與報告的力度。合規目標來自產業標準、聯邦機構,以及其他監管機構。

常見的風險管理框架有哪些?

常見的風險管理框架包括:

  • 美國國家標準與技術研究院 (NIST) 資訊系統與組織風險管理框架 (RMF)
  • COBIT
  • ISO/IEC 31000 風險管理 – 指導方針
  • ISO/IEC 27005:2022 資訊安全、網路安全與隱私權保護 – 管理資訊安全風險的指引
  • 資訊風險因素分析

建議使用已知及定期更新的風險管理框架,以便與風險管理最佳實務保持同步。

高效的風險管理框架核心元件有哪些?

健全的風險管理框架可協助管理組織內各種類型的風險。

風險確認

確認組織架構中的全部資產、威脅與漏洞。風險是指由於資產的漏洞而對其造成的威脅。確認潛在風險可能是一個漫長的過程,涉及多個組織層面與業務目標。

您可將風險分為技術風險、人員風險、程序風險、財務風險或第三方風險等類別。此外,您還可將這些大類再細分;舉例來說,在「人員」類別中,可進一步細分為技能、人為錯誤,以及知識孤島。

影響分析

藉由對您的資產、威脅與漏洞進行分析,您可確定出現潛在風險的可能性與影響程度。分析與風險評估包括定性措施與定量措施。舉例來說,您可收集關於具體類型風險的全部詳細資訊,或者制定風險評分矩陣來對風險進行分類,這可確定後果與緩解策略。視乎事件發生的可能性及其預期影響,這些類別可包括低風險、中風險、高風險,以及極高風險評分。

緩解策略

下面列出了針對每項具體風險制定的四種風險緩解策略:

  • 緩解:實作控制措施來消除或降低風險
  • 接受:接受現有風險,同時密切監控出現風險的可能性或嚴重程度變化。
  • 避免:消除風險及重新設定系統
  • 轉移:將風險相關職能外包、制定合約緩解措施,或者購買保險以應對此類事件

除風險嚴重程度與出現可能性之外,組織的風險承受能力還可協助確定適當的策略。

解決方案實作

視乎所選的緩解策略,您可實施控制措施、做出系統變更、引入監控解決方案,以及將風險外包。控制措施可以是行政控制、實體控制,或是技術控制。此階段可能涉及多個系統、業務部門、利害關係人,以及產生預期成效的各項步驟。

風險緩解方案可以包括風險升級程序、風險負責人,以及與事件回應團隊協作制定事件後計畫。

實作解決方案後,計算殘餘風險。大多數解決方案無法完全消除風險,因此仍有殘餘風險。這種殘餘風險會隨著情況的變化而波動。

控管與持續監控

風險緩解方案實作後,必須對風險進行監控、追蹤、分析,以及必要的稽核。必須將報告機制納入風險追蹤程序,供風險負責人、GRC 團隊及領導層使用。

在管控框架內,應設置隨需及定期排程的程序,以便確認業務中新出現及不斷升級的風險。您應制定風險管理政策,確定重新評估目前程序的頻率,以及為相關團隊成員提供培訓。實作防護機制,以便協助自動阻止同類風險再次發生。

在 AWS 上實作風險管理框架有哪些步驟?

在這份指南中,示範了如何實作與典型風險管理框架各個階段保持一致的 AWS 管道。

在風險管理程序的每個階段,可藉助以下三項主要 AWS 服務來提供支援:

  • AWS Audit Manager 用於持續稽核您的 AWS 用量,以簡化風險與合規評估
  • AWS Config 用於評估、稽核和評定資源的組態
  • AWS Security Hub 用於藉由自動執行的關聯與增強的風險內容,來對您的關鍵安全問題設定優先級,此外還可提供安全狀況報告,以及更多功能

1.規劃

規劃階段可確保組織擁有建置最佳實務風險管理程序的堅實基礎。

制定計畫以藉助下列服務來開展最佳實踐風險管理活動:

2.探索

探索階段可探索及標記您的各項資產、資源,以及服務。

如需探索資產及進行分類,可使用以下 AWS 服務:

3.控制措施與規則選擇

選擇階段會引入控制措施與規則,用於防範已確認的風險。

在下面的各項 AWS 服務中,透過預先定義的最佳實務規則來選擇控制措施:

  • AWS Config 受管規則是預先定義的可自訂規則,並會由 AWS Config 用於評估您的 AWS 資源是否符合常見的最佳實務
  • AWS Control Tower 與 AWS Security Hub 用於進行安全控制,AWS Audit Manager 則用於進行政策合規控制。
  • AWS Systems Manager Compliance 是 AWS Systems Manager 中的一個工具,您可依據您的 IT 或業務需求,使用該工具來建立自己的合規類型及定義

4.實作

實作可確保控制措施在所有所需資產與環境中持續一致地運用。

您可在各項 AWS 服務中使用以下控制實作工具:

  • 結合使用 AWS CloudFormation 與 AWS Service Catalog 來部署嵌入式控制措施,以便建立、分享、整理及管理經策管的 IaC 範本
  • AWS Config 用於控制規則與後續步驟
  • AWS Security Hub 用於進行安全規則實作
  • AWS Systems Manager 用於跨資源與服務確保政策的遵守

5.評估

評估旨在衡量運用的控制措施的實作表現。

您可藉助以下 AWS 服務組合,來評估您的組織管理風險的成效:

  • AWS Audit Manager 用於進行可追溯的評估
  • AWS Config 用於檢查是否與合規規則相符
  • Amazon Detective 用於分析及視覺化安全資料,以調查潛在安全問題
  • Amazon GuardDuty 用於對 AWS 帳戶、工作負載,以及資料執行持續的威脅監控
  • AWS Inspector 用於執行自動化漏洞風險評估
  • AWS Security Hub 用於進行永遠啟用的安全風險評估

AWS Trusted Advisor 是組織建立風險管理框架的另一項選擇。AWS Trusted Advisor 服務可提供成本最佳化、效能、安全、容錯、服務限制,以及卓越營運方面的檢查。您可透過儀表板,檢視提醒、建議操作,以及額外的資源。AWS 客戶可透過下面的網址來存取工具:​https://console.aws.amazon.com/trustedadvisor/home

6.授權

授權功能可規範化方法、之前的步驟、對殘餘風險的接受情況,以及監控。

藉助下面的各項 AWS 服務可自信地進行授權:

  • AWS Artifact 用於產生 AWS 與 ISV 安全及合規報告
  • AWS Audit Manager 用於為決策者提供報告
  • AWS Config 用於詳細地提供合規報告與追蹤
  • AWS Security Hub 用於提供系統安全狀態與報告的即時檢視

7.監控

持續監控能確保風險管理程序與時俱進,以及納入全新及不斷變化的風險。

藉助以下各項 AWS 服務可實現持續性監控:

  • AWS CloudWatch 用於監控應用程式、發出異常狀況提醒,以及提供關於營運運作狀態的洞察,以確保合規
  • AWS Config 用於進行持續性合規性監控
  • Amazon EventBridge 用於依據其他 AWS 服務的觸發因素來建立自動化回應
  •  AWS Security Hub 用於進行持續性安全監控
  • AWS Systems Manager 用於進行修補程式與組態監控

AWS 如何為您開始建置風險管理框架提供協助?

對於尋求改善其組織復原能力與效能的組織,應實作風險管理框架。藉助風險管理框架,可降低企業風險並及時了解風險,從而讓這些未知因素更容易控制。

選擇一項標準化框架,並在此基礎上進行建置是一個很好的入門方法,而 AWS 提供了各種促進框架實作的服務。與 AWS Well-Architected Framework 結合使用,您可在 AWS 上為管控、風險及合規奠定堅實的基礎。

即刻建立一個免費帳戶,開始在 AWS 上建置風險管理程序。