(2)Risk Management Strategy风险管理战略 (GV.RM):
The organization’s priorities, constraints, risk tolerance and appetite statements, and assumptions are established, communicated, and used to support operational risk decisions
建立和沟通组织的优先事项、约束、风险容忍度和偏好声明、以及相关假设,并将其用于支持运营中的风险决策
GV.RM-01:
Risk management objectives are established and agreed to by organizational stakeholders
风险管理目标由组织的利益相关者(们)建立并达成一致
- Ex1: Update near-term and long-term cybersecurity risk management objectives as part of annual strategic planning and when major changes occur
更新近期和长期网络安全风险管理目标,作为年度战略规划的一部分,并在发生重大变化时进行更新 - Ex2: Establish measurable objectives for cybersecurity risk management (e.g., manage the quality of user training, ensure adequate risk protection for industrial control systems)
为网络安全风险管理建立可衡量的目标(如管理用户培训的质量,确保工业控制系统有足够的风险保护) - Ex3: Senior leaders agree about cybersecurity objectives and use them for measuring and managing risk and performance
高层领导人就网络安全目标达成一致,并利用这些目标来衡量、管理风险和绩效
♠检查落实
❈文件和台账
- 风险管理计划
- 网络安全会议纪要
- 网络安全绩效指标
❈预期结果
- 风险管理计划已形成文件化记录
- 风险管理计划被定期评审和更新(每年和/或发生重大变化时)
- 风险管理计划是可重复和可测量的(有可测量的目标或KPI)
- 风险管理计划中有已定义的风险owner
- 利益相关方参与或了解风险管理计划(管理评审和网络安全会议记录)
- 网络安全风险管理目标在战略规划和监督过程中有所体现
GV.RM-02:
Risk appetite and risk tolerance statements are established, communicated, and maintained
建立、沟通和维护风险偏好和风险容忍度声明
- Ex1: Determine and communicate risk appetite statements that convey expectations about the appropriate level of risk for the organization
确定并沟通风险偏好声明,以传达对组织适当风险水平的期望 - Ex2: Translate risk appetite statements into specific, measurable, and broadly understandable risk tolerance statements
将风险偏好声明转化为具体的、可测量的、广泛理解的风险容忍度声明 - Ex3: Refine organizational objectives and risk appetite periodically based on known risk exposure and residual risk
基于已知的风险暴露和剩余风险,定期改进组织目标和风险偏好
♠检查落实
❈文件和台账
- 风险偏好的声明,不必单独文件,但得是正式的
- 风险容忍度的声明,不必单独文件,但得是正式的
- 风险管理计划
- 风险管理会议纪要
❈预期结果
- 已定义并批准了网络风险偏好声明
- 依据风险偏好导出了具体的、可衡量的风险容忍度,列出了组织认为高风险或可能出现高风险的系统和服务
- 风险偏好和风险容忍度量是由管理层根据业务目标和利益相关者的期望,在评审、辩论后作出的“知情决定”
- 能体现出将风险偏好和风险容忍度作为风险管理决策的依据
- 体现KRIs和风险偏好/风险容忍度之间的联系
- 定义了风险超过最大可容忍水平时、风险状况和/或重大变化时通知不同层次、范围管理者/管理机构的过程和规程
- 风险偏好声明和容忍度声明会定期评审和更新
GV.RM-03:
Cybersecurity risk management activities and outcomes are included in enterprise risk management processes
网络安全风险管理活动和产出包括在企业风险管理流程中
- Ex1: Aggregate and manage cybersecurity risks alongside other enterprise risks (e.g., compliance, financial, operational, regulatory, reputational, safety)
汇总和管理网络安全风险以及其他企业风险(如合规、财务、运营、监管、声誉、人身安全等) - Ex2: Include cybersecurity risk managers in enterprise risk management planning
将网络安全风险管理人员纳入企业风险管理规划 - Ex3: Establish criteria for escalating cybersecurity risks within enterprise risk management
在企业风险管理中建立网络安全风险升级标准
♠检查落实
❈文件和台账
- 风险管理计划
- 风险登记册
❈预期结果
- 企业风险管理框架中整合了网络风险管理框架
- 看得到基于企业和业务层面的影响来分析网络安全风险的证据
- 看得到业务部门分析和处置业务风险的过程中考虑了网络安全风险因素的证据
- 识别了内外部依赖,网络安全的问题可能以及如何影响到哪些业务,组织的问题可能以及如何影响到哪些其他组织
- 根据上一条确定的内外部沟通/汇报过程和规程
GV.RM-04:
Strategic direction that describes appropriate risk response options is established and communicated
建立并沟通描述适当风险应对方案的战略方向
- Ex1: Specify criteria for accepting and avoiding cybersecurity risk for various classifications of data
针对各种级别数据,设定接受和避免网络安全风险的标准 - Ex2: Determine whether to purchase cybersecurity insurance
决定是否购买网络安全保险 - Ex3: Document conditions under which shared responsibility models are acceptable (e.g., outsourcing certain cybersecurity functions, having a third party perform financial transactions on behalf of the organization, using public cloud-based services)
正式记录可以接受共同责任模式的条件(如外包某些网络安全功能,让第三方代表本组织执行金融交易,使用基于公共云的服务等)
♠检查落实
❈文件和台账
- 管理评审记录
- 网络安全会议纪要
- 网络安全战略和策略文件
- 网络安全风险评估
- 网络安全保险、外包协议等
❈预期结果
- 战略和策略文件、管理评审和网络安全会议纪要等能证明该组织已经围绕网络安全建立并沟通了适当的风险应对措施
- 各种决策是基于风险的“知情决定”的证据
- 定义了授权风险分担模式(外包、保险和使用公有云)的条件和决策链,以及遵从的证据
- 定义了“例外”情形的决策链,以及遵从的证据
GV.RM-05:
Lines of communication across the organization are established for cybersecurity risks, including risks from suppliers and other third parties
针对网络安全风险,包括来自供应商和其他第三方的风险,建立了全面的沟通渠道
- Ex1: Determine how to update senior executives, directors, and management on the organization’s cybersecurity posture at agreed-upon intervals
确定如何在商定的时间间隔内向高级管理人员、董事和管理层提供组织的网络安全状况的最新信息 - Ex2: Identify how all departments across the organization — such as management, operations, internal auditors, legal, acquisition, physical security, and HR — will communicate with each other about cybersecurity risks
确定组织中所有部门(如管理、运营、内部审计、法律、采购、物理安全和人力资源)如何就网络安全风险相互沟通
♠检查落实
❈文件和台账
- 组织结构图
- 网络安全会议记录
- 网络安全策略
- 可接受的使用策略
- 供应商管理程序
❈预期结果
- 按计划间隔向上级如主管和管理层提供网络安全状况的更新的规程和记录
- 不同部门如何就网络安全风险进行沟通的规程和执行证据
- 与供应商和其他第三方沟通网络安全风险的规程和执行证据
- 网络安全风险评估包含了供应商和其他第三方因素
GV.RM-06:
A standardized method for calculating, documenting, categorizing, and prioritizing cybersecurity risks is established and communicated
建立并沟通计算、记录、分类和排序网络安全风险的标准化方法
- Ex1: Establish criteria for using a quantitative approach to cybersecurity risk analysis, and specify probability and exposure formulas
建立使用定量方法进行网络安全风险分析的标准,并明确关于概率和暴露的公式 - Ex2: Create and use templates (e.g., a risk register) to document cybersecurity risk information (e.g., risk description, exposure, treatment, and ownership)
创建并使用模板(如风险登记册)来正式的记录网络安全风险信息(如风险描述、暴露、处理和所有权等) - Ex3: Establish criteria for risk prioritization at the appropriate levels within the enterprise
在企业内部适当的层次上建立风险优先级的标准 - Ex4: Use a consistent list of risk categories to support integrating, aggregating, and comparing cybersecurity risks
使用一致的风险类别列表来支持集成、聚合和比较网络安全风险
♠检查落实
❈文件和台账
- 网络安全风险评估
- 风险登记册
❈预期结果
- 存在既定的标准进行风险评估和报告的规程和执行证据
- 上述标准的可重复性、可比性及执行证据
- 风险登记册记录必需的网络安全风险信息
- 所使用的标准、框架及工具
GV.RM-07:
Strategic opportunities (i.e., positive risks) are characterized and are included in organizational cybersecurity risk discussions
描述战略机会(即积极风险)并将其包含在组织网络安全风险讨论中
- Ex1: Define and communicate guidance and methods for identifying opportunities and including them in risk discussions (e.g., strengths, weaknesses, opportunities, and threats [SWOT] analysis)
定义并沟通识别机会的指南和方法,并将其包括在风险讨论中(如优势,劣势,机会和威胁[SWOT]分析) - Ex2: Identify stretch goals and document them
确定并正式记录延伸目标 - Ex3: Calculate, document, and prioritize positive risks alongside negative risks
计算、正式记录和排序正面风险和负面风险
♠检查落实
❈文件和台账
- 网络安全风险评估
- 网络安全会议记录;
- 网络安全策略
- 风险管理计划
❈预期结果
- 在网络安全战略、风险评估和风险管理计划中,体现了对战略机会(即积极风险)的关注
- 在对网络安全风险讨论中考虑了战略机会(即积极风险),比如新兴技术的风险和机会,积极应对新的监管要求可赢得市场优势等
- 确定目标时设定级别,包括必须达到的目标和延伸目标,以及奖惩标准
