Home / Resources / News and Trends / Industry News / 2022 / 执行资讯安全和私隐风险评估

执行资讯安全和私隐风险评估

Andre Pitkowski和Daniel Bispo de Jesus,
Author: Andre Pitkowski, CRISC, CGEIT, COBIT Foundation Trainer, CRMA, ISO 27001 LA, ISO 31000 LA, OCTAVE, Scrum PSM, and Daniel Bispo de Jesus, COBIT 5 Foundation, BCMF, DPO, ISO 27001 IA, ISO 27001 LA, ISO 27701 LI
Date Published: 18 May 2022

澳门赌场官方下载信息安全和隐私专业人员负责识别信息管理系统和流程中的信息安全和隐私漏洞. To do so, 他们可以根据机密性实施控制以增加信息的安全性和隐私性, 完整性和可用性(CIA)和真实性. As development progresses, 可能需要监控系统本身, 并且可能实施额外的控制以满足额外的要求. 监视可能意味着系统与增加的安全性和隐私风险之间存在关联. If controls are not implemented, 可能会立即增加与关键系统相关的信息安全和隐私风险.

引入的新控制措施应允许两项新活动:

  1. 评估范围内建立的控制措施,提出修订和调整建议
  2. 开发团队对澳门赌场官方下载内部组织结构中信息安全和隐私方法的评估

任何理论框架都可以用来识别和分类信息安全和隐私问题, 并评估信息安全和隐私风险. 该框架的步骤是确定差距的一个机会, 但它们也是创建数据隐私影响分析(DPIA)的输入。.

需要强调的是,风险评估只是国际标准化组织(ISO)/国际电工委员会(IEC)标准ISO/IEC 31000:2018风险管理过程中的一个步骤, Risk Management—Guidelines (figure 1).

图1 -风险管理流程(ISO/IEC标准31000:2018,第6部分)
风险评估和报告的步骤

信息安全和隐私的属性

信息安全和隐私组控制的属性分为三种不同的上下文:

  1. Structure-结构评价处理系统结构方面(包括过程和支持系统的基础设施)的控制,以及系统运行环境的特征, 哪些是识别组织中信息的安全和隐私的当前状态所不可或缺的.
  2. System- System属性基于基于设计的安全性和基于设计的隐私原则, that is, 拟议的安全控制旨在将信息安全和隐私纳入整个系统的生命周期和, consequently, 有助于降低威胁利用系统漏洞的可能性. 该属性包含安全开发等概念, 逻辑访问控制和web安全. 重要的是要注意组织是可以自由改变的, include, or exclude controls, 使这种结构适应其系统的现实和临界性. 在一些关键系统中,多因素身份验证(MFA)(或数字证书)对于提高系统执行的事务的可靠性级别至关重要, while in other cases with low risk (i.e.,低概率和低影响的风险),它的使用可以放弃. Therefore, 确定差距并适应待开发系统的现实是首席风险官(CRO)的责任,必须始终是机构风险管理的一部分.
  3. Privacy-此属性中存在的隐私控制与数据处理中保护的法律遵从范围有关, including those of a personal nature. 这些控制允许首席信息安全官(CISO)分析处理这些数据的系统,并验证是否满足了保护和遵从性的适宜性要求.

这些控件促使控制器重新访问业务请求,并查明收集的数据是否过多或不符合要求, obeying the principle of necessity.1

Security and Privacy Measures

有必要采取安全和隐私措施,并为这些措施确立控制目标. 所采用的措施可参考标准ISO/IEC 27002:2013(信息安全范围), ISO/IEC 27701:2019(扩展27001和27002信息安全和隐私范围)和ISO/IEC 29100:2011(隐私范围).

Performing the Risk Assessment

The risk assessment, 在ISO 31000和DPIA (ISO 29134:2017)的背景下, 是否可以基于ISO 31000的风险评估模型. 遵循建议的控制的应用(或缺乏控制), 系统的负责人观察系统面临的安全和隐私风险的结果. 识别和验证控制的合规性是控制者的唯一责任.

请注意,建议的评估不是最终或全面的解决方案,它对处理个人数据的系统的实际情况的持续适应是评估过程的重要组成部分. Laws, 程序和文化不断成熟,个人资料的资讯安全和私隐评估程序亦是如此.

Laws, 程序和文化不断成熟,个人资料的资讯安全和私隐评估程序亦是如此.

Stages of Risk Assessment
首先,建立标量参数(i.e.,为每个风险分类(低、中、高)分配渐进值的参数。. Additionally, 创建一个矩阵,将概率与影响联系起来, according to scalar parameters. 通过将这两个值相乘,风险水平(i.e.(风险的大小或风险因素的组合).

Methodology
本文提出的方法基于以下4个基本概念来理解评价模型的结构:

  1. 要评估的系统从高风险级别开始(高概率和高影响), 由于系统控制还没有被分析.
  2. 控制被划分并分组成共同的特征. 这种分组称为安全和隐私措施.
  3. 对于给定的风险,每一种控制方式的表现都不同. 它可以有助于预防风险,减轻风险,或两者兼而有之. 预防性控制有助于降低风险发生的概率,缓解性控制有助于降低风险的影响.
  4. 该方法为表示与风险相关的重要程度的控制建立权重.

In conclusion, 控制措施的作用是减轻和/或防止某些风险因素和, according, to their importance (i.e.它们可以降低概率(预防性控制)和影响(缓解控制)。. 对于不适用于被评估系统的控制, 对风险的可能性或影响没有影响.

计算将作用于概率和影响的控制的总数, 添加了预防控制(概率)和缓解控制(影响).

除了控制类型的总和之外, 对应用的所有控制进行了核算, 那些没有申请的和那些没有申请的针对每一个风险因素. 这种核算是通过与特定风险的控制相关联的权重的总和来实现的.

Thus, 得到给定风险的概率, 首先计算与之相关的已确定应用的预防控制的所有权重之和, 因为某些控制可能不适用于系统.

Subsequently, 从“不适用于”风险的所有预防控制权值的总和中减去所有风险预防控制权值的总和. At the end, 识别为“已应用”的与之相关的所有预防控制权值之和除以所有风险预防控制权值之和与所有风险预防控制权值之和之间的减法. “不适用于”风险的预防控制的权重. If all controls are applied, there is a probability value equal to 1, and if no controls are applied, we have a value equal to 0. Therefore, the closer to 1, 应用(实施)的控制措施越多,风险发生的可能性就越低. 影响计算公式遵循相同的推理,不同之处在于所评估的控制类型(缓解控制).

在进行风险等级计算之前, 有必要用概率和影响对得到的结果进行分类, the value between 0 and 1, into one of the classifications (High, Moderate and Low).

随着控制措施的实施,概率或影响等级被降低. 影响只有2个分类,而不是3个, 因为它考虑了环境特殊性存在的可能性, 处理的个人资料类别及适用于处理资料的具体法例. 因此,可以选择单个还原步骤(从高到中)。. 应该再次指出的是,评估者可以使方法适应组织的实际情况,并且可以根据他们的标准和需要插入更多的类别或改变方法.

进行风险评估的好处

在更好地理解风险评估是什么以及如何进行风险评估之后, 一些好处可以证明实现这种做法是合理的.

  • Competitive advantage-风险评估使操作更具战略性和可预测性, 在考虑不同的情况和制定针对不利事件的具体计划时,哪些因素会影响澳门赌场官方下载的竞争优势,增加澳门赌场官方下载在竞争中脱颖而出的机会.
  • New business opportunities—When an organization maps risk, 它还揭示了采取行动的机会,并能将关键事件转变为有益的安排. Thus, 经理们能够更好地定义投资, projects, 策略等方向更便于场景分析.
  • Increased project security-风险管理可以针对任何业务或特定项目进行开发. 这种做法为管理者做出的决策提供了更多的保障, 协助投资方向, strategies, team formation, competition analysis and trend study.
  • Minimized internal and external risk风险最小化是风险评估的中心目标,但它值得进一步解释. Even market-leading enterprises have internal and external risk; after all, 环境总是在变化,需要业务团队适应和创新. When performing the risk assessment, 组织意识到可能影响结果的潜在事件, either positively or negatively. The direction, 风险评估的方法和广度取决于组织的目标. 它可以用于整个澳门赌场官方下载或特定领域,如销售、财务或营销.

Risk in the Context of a DPIA

DPIA中列出的风险因素可以基于并改编自标准ISO/IEC 29134:2017,该标准涉及评估隐私影响的安全技术. 与无法获得有关的风险因素是损失、盗窃和破坏. If the risk is realized, 数据主体可能无法访问其数据, for example, and, consequently, not exercise their rights. In this way, 如果没有实现减轻这种风险的控制, 这将对可用性产生直接影响.

该评估将作为DPIA的两个步骤的输入和补充:识别和评估风险以及识别解决风险的措施. 第一步(识别和评估风险), or first assessment, 反映了对当前情况的分析.e.(诊断)处理数据(包括个人数据)的系统. 第二步(确定处理风险的措施), or second assessment, 表示在第一次评估完成后,通过实施控制措施,对风险有效应用的处理. 它有助于定义风险处理的补充措施.

To align with best practices, 而不是日志的安全和数据隐私措施, 在编制文件期间,可以指出所应用的控制措施,并且可以增加详细程度.

除了为DPIA的上述两个阶段提供信息外, 本评估中的其他资料可用于确定与数据操作员签订的合同中的需要, 在使用条款和私隐政策中披露的保安措施(符合透明度原则), 改进了组织内部流程的信息安全和隐私, 加强对隐私法律法规的遵守.

风险评估是风险管理过程的第一步,必须全面实施,并伴随着已定义的控制措施的成熟.

Editor’s Note

本文与Andre Pitkowski和Daniel Bispo de Jesus的“信息安全和隐私风险评估”相关. 欲阅览全文,请与作者联系 andrepit@gmail.com or dbj1964@gmail.com.

Endnotes

1 Gdpr-info.eu, Art. gdpr—与处理个人数据有关的原则

Andre Pitkowski, CRISC, CGEIT, COBIT Foundation Trainer, CRMA, ISO 27001 LA, ISO 31000 LA, OCTAVE, Scrum PSM

Has been a member of ISACA® since 2003. 2015-2017年,他担任国际副总裁, 2013-2019年担任ISACA巴西圣保罗分会主席, 2003-2006年担任分会主任. 他还是ISACA框架委员会的成员,巴西的主题专家和CSX联络人. 他拥有超过25年的IT公司治理高级顾问经验, IT风险评估项目和遵从性, 作为管理方面的讲师和客座讲师, 风险和合规(GRC)在巴西和国际上. 他致力于将IT与客户的业务目标结合起来的项目, 在国际上展示商业案例. He can be reached at http://www.linkedin.com/in/andrepitkowski.

Daniel Bispo de Jesus, COBIT 5基金会,BCMF, CISO, DPO, ISO 27001 IA, ISO 27001 LA, ISO 27701 LI

Has been a member of ISACA® since 2016. 他是一名拥有超过10年经验的IT和信息安全专业人士. 目前,他在桑托斯港务局(SPA)工作,积极参与个人信息管理系统(PIMS)的实施和管理。. He can be reached at www.linkedin.com/in/daniel-bispo-87122126.