根源分析应纳入企业风险管理计划吗?

近来,业内主张将根源分析纳入企业风险管理计划。对于已经非常繁冗的安全审计流程来说,这貌似是额外一笔。那么根源分析的好处是什么?对于企业安全计划来说,真的有用吗?

Mike O. Villegas:根源分析(RCA)解答了这四个基本问题:发生了什么、怎样发生的、为什么会发生以及该如何做以防止其再次发生。这些都是安全事故发生后极具代表性的问题。一项风险管理计划应明确计划、组织、领导以及控制企业活动的流程以便将风险最小化。

事件响应计划(IRPs)为企业提供了处理和解决安全泄漏或攻击事件发生后的方法。在一个事件响应计划中,最为关键的是“已知教训”——IRP团队分析了事件极其处理方式,以便将来遇到事故发生时能更好地响应,防止统一事件的再次发生。这就需要进一步地了解该事件发生的起因经过结果。这样,安全团队才能做出更好的决定防止事件再度发生。这一过程就应该包括根源分析了。

无疑,含有根源分析的风险管理计划是有益的,特别是对于那些关注信息安全风险的首席信息安全官们来说,事件响应计划中最好包含根源分析。

当事件响应计划从根源分析中得到结果以及测试可行的事故发生场景以确保事件响应计划团队可以熟练地管理实际事故的发生的时候,事件响应计划才能最大程度地发挥其作用。

作者:Mike O. Villegas

来源:51CTO

时间: 2024-09-15 21:41:14

根源分析应纳入企业风险管理计划吗?的相关文章

将新的FDA医疗器械指南纳入企业信息安全计划

美国政府法律.法规和指导方针通常无法像技术社区那样迅速发展,在很多时候,甚至迟迟未能及时响应人们期望已久的紧迫的需求.因为政府需要考虑很多不同的利益相关者(包括国际社会)以及新指导方针可能对他们带来的影响,例如对行业以及对整个产品生命周期的影响. 在预防和防止数据泄露方面,以及确保复杂业务和医疗系统和设备方面,医疗行业面临巨大压力.在本文中,我们将讨论美国食品和药物管理局(FDA)制造商医疗器械网络安全指南以及企业应如何将其纳入信息安全计划. FDA医疗器械网络安全指南 2016年12月,FDA

SAP公司宣布在中国正式启动“SAP初创企业激励计划”

在北京举行的SAP中国商业同略会上,SAP公司宣布在中国正式启动"SAP初创企业激励计划",作为该计划的重要组成部分,SAP将在中国成立SAP HANA开发者社区. "SAP初创企业激励计划"于2012年4月在全球范围内启动,旨在帮助初创企业和小企业利用SAP HANA平台的创新功能进行应用开发.该计划包括SAP技术和营销活动.技术和创新执行董事长计划.SAP HANA产品管理培训以及SAP联合创新实验室等项目. 据了解,此项计划在中国启动后,SAP中国开发者社区将

借助企业生产计划管理工具提升核心竞争力

企业生产计划管理的核心能力是企业独 有的对竞争优势要素的 获取能力.因此,核心能力也可以定义为http://www.aliyun.com/zixun/aggregation/10148.html">企业运营管理部门开发出的某种或几种能够使企业在竞争中高于竞争对手的能力.为了聚焦核心能力,企业都开始消除其业务流程中对企业成功无关紧要的活动.在如今 激烈的全球竞争中,企业所需要的不是更多的技术含量,而是构造一整套全新的产品实现系统,并超越其他的竞争对手.   在运作中实施虚拟化战略,是指借用外

大数据时代的企业风险管理论坛成功举办

文章讲的是大数据时代的企业风险管理论坛成功举办,2015年9月10日景华天创.IBM和ACCA在广州联合举办的"大数据时代的企业风险管理论坛"活动成功落幕,很荣幸邀请到了IBM及ACCA的有关专家.学者和实务工作者等近百人齐聚一堂,就企业内部控制与内部审计的关系及其实践.风险管理信息系统解决方案.风险管理系统在国内企业落地的方法论和成功案例以及相关热点话题进行了交流和讨论. 中国经济正处于结构转型和市场决定资源配置的"新常态"时期,新常态并不意味着经济和企业经营的一

CIO必知:九步制定企业安全计划

如今的商业信息所处的生态链十分复杂,其中的环节包括技术.合规要求.标准.商业流程.厂商.安全威胁.市场压力等.这些信息在网络.多应用.数据库.服务器中纵横流动. 信息安全的基本原则总体可分为三条:可用性.集成性和保密性.可用性是指信息必须能够及时向那些需要的人提供;集成性意味着信息必须完整;而保密性则是通过授权访问来加强信息的安全. 对企业IT来说,如何制定并实施企业安全计划(ESP)是一件至关重要的任务,专家建议可以分成以下9个细节步骤来完成. 1:建立信息安全团队 一般而言,企业需要建立两支

市场信息在企业生产计划工作中的应用

生产计划工作指的是对未来行动的事先安排.它是企业管理的一项重要职能,是一项具有战略意义的工作.生产计划包括二大类型: &http://www.aliyun.com/zixun/aggregation/37954.html">nbsp; 1.固定性的事先安排   对于920.html">企业发展及日常 管理工作而言,需要一些固定性的事先安排,包括:宗旨.方针.目标.发展战略.规划.规章制度.技术标准与规范.工作程序等等.这类固定性的事先安排,在相当一段时间是固定不变的

平台化多维延伸——阿里钉钉推“企业服务计划”渗透“人心”

阿里钉钉提出企业服务计划,在其开放平台首次接入商旅.订餐.用车.体检.法务等企业必不可少的服务,为企业用户提供和工作相关的全套服务.阿里钉钉深入到了服务"人"的层面,为企业员工的出行.用餐等提供便利.快捷.高品质的服务,相当于打开了一个新的维度. 2015年被称为企业级服务元年,这主要指的是SaaS服务,中国SaaS企业也在第一波涌向企业级服务的热钱的推动下奋勇开疆辟土,红红火火地过了一年.如今,走进创业深水区的SaaS企业,在最初在资本层面.产品.技术等的较量后,平台化生态布局如火如

定制化分析API初创企业Keen IO获235万美元融资

 自定义分析API初创企业Keen IO刚刚在附加种子轮融资中获得235万美元. 市面上的分析服务很多,但是未必能完全你的分析需求.这个时候你有两种选择,要么是自己从头开发系统,要么提供数据,利用第三方的分析功能组合出自己想要的结果.Keen IO就能提供这种服务. Keen IO于2012年推出了beta版,并在今年4月推出了付费服务. Keen IO可以提供一组工具及API供开发者用来开发自己的分析产品.根据其说法,Keen IO可帮助客户收集任何来源的数据,然后存储起来,并对这些数据以客户

UEP企业成长计划:新时代创业者光环

  2015年,国家制定出台了一系列推进"大众创业.万众创新"的政策措施,从产业经济层面给创业者巨大的帮助.引发大量的年轻人投身到创业浪潮中,仅仅在过去两年,我国便诞生了数十万个互联网创业项目.与此同时,各种孵化器.投资机构.创业平台也是随着该股创业热而遍地开花,为创业者提供格式各样的创业服务. 众多创业服务平台中,专业云计算服务商UCloud旗下的UEP企业成长计划表现尤其亮眼.面对创业初期的各种难题如用户流量资源不足.技术架构不够成熟.营销方案经费不足.推广渠道有限等等.UEP所构