什么是综合风险管理？定义与实施

综合风险管理 (IRM) 是一门旨在将技术使用风险考量纳入整个组织中的学科。换句话说，它将技术支出直接与受保护资源的价值以及该技术控制的相关风险联系起来。

为了解释 IRM，我在文章中概述了它的关键组成部分、优势、IRM 与其他风险模型的区别以及 IRM 框架。还请阅读实施有效 IRM 所需的步骤、最佳实践以及在哪里上课或获得 IRM 认证。

综合风险管理的 7 个关键要素

IRM 试图让组织中每个级别的每位员工都了解风险，就像每位员工对金钱、指挥结构或道德的自然理解一样。为了实现这一目标，组织必须了解并融入 IRM 的七个关键组成部分：业务需求、运营、风险、控制、监控、响应和报告。

业务目标

业务目标定义了组织的目标，而不仅仅是销售额和利润等简单的财务指标。哪些目标能为股东带来最大价值？例如，服装品牌可能会选择诸如开发独特且吸引人的设计之类的业务目标。同时，911（或 999）呼叫中心的目标可能侧重于服务的高可用性和呼叫者的快速响应时间。

操作系统

运营系统利用人员、流程和技术来实现业务目标。在上述示例中，服装品牌将使用传统和计算机辅助设计原型以及市场研究。911 呼叫中心需要强大的电话系统、训练有素的员工和决策树流程，以了解如何将问题转交给适当的紧急或非紧急机构以满足呼叫者的需求。

重大风险

重大风险是指威胁运营系统或业务目标的重大且可能的风险。例如，服装品牌面临的风险是有人可能窃取其设计或破坏其营销研究。911 呼叫中心更担心公用事业中断（电力、电话）或计算机系统崩溃，因为这会破坏他们调度适当紧急响应的能力。

缓解控制

缓解控制措施可防止或降低风险。在我们的示例中，服装品牌通过门上的物理锁、额外的计算机安全措施来保护独立的设计团队，以防止数字盗窃，并为营销数据提供备份解决方案。911 呼叫中心通过发电机和多个电话系统来防止公用事业中断，并部署冗余计算机系统、负载平衡、高防CDN等来防止计算机崩溃。

威胁监控

威胁监控检查风险和控制措施，以预测或发现潜在问题。设计公司将安装监控摄像头和数据丢失防护(DLP) 技术，以监控物理和数字盗窃企图。911 呼叫中心将使用天气预报来预测停电情况，并使用网络监控软件来监控计算机和电话系统的运行和安全问题。

威胁响应

检测到威胁后，组织需要做出响应。如果营销数据计算机崩溃，设计公司将需要做出响应并恢复计算机和数据。如果 911 中心停电，他们必须启动发电机提供临时电力。

反馈报告

反馈报告将监控结果传递给正确的人员，以采取行动或调整控制。在服装品牌，监控摄像头可能会拍到坐在街对面的汽车里的人用双筒望远镜监视设计团队，这可能需要安装窗户遮盖物。在 911 中心，停电可能会导致不幸的发现，即发电机缺乏足够的燃料，并可能导致额外的控制以维持燃料储备。

综合风险管理的五大优势

综合风险管理提供了许多可重复和可衡量的好处，包括新的机会、明确的优先事项以及更好的安全性、性能和弹性。

额外优势

大多数风险策略侧重于控制下行风险，但 IRM 也会考虑并促进上行风险机会。例如，将高峰时段的计算资源提供给亚马逊，不仅可以控制假日季的运营风险，还可以创造租用多余计算能力和开发 AWS 云计算的机会。

明确优先次序

IRM 流程将数据、系统和可能威胁它们的风险的价值关联起来。这些价值提供了明确且合理的优先级，并可在整个组织内轻松传达，以协调运营、安全和财务的目标。

强化的安全性

通过多层物理和不同类型的网络安全解决方案实现有效的网络安全，以保护资产免受风险。这些控制措施将经过测试和持续监控，从而实现更有效、更牢固的整体安全性。

优化性能

系统复杂性可能导致关键数据或受监管数据的脆弱性和数据路径模糊。综合风险管理可识别和消除不必要的复杂性，以简化风险分析和威胁控制，并带来优化的运营绩效（尽管这是潜在的副作用）。

更强的韧性

有效的 IRM 可以预测最有可能导致运营和安全中断的问题，并采取措施控制这些问题。系统变得更加坚固和高效，故障更少，恢复速度更快，从而提高整体弹性。

ERM 与 IRM 与 GRC 与 SRM：有区别吗？

所有风险管理策略都力求利用对业务流程的威胁来确定风险。然后，风险将优先考虑安全控制，目标是提供真正有效的安全性，而不是复选框合规性。最常见的风险管理实践包括：

• 企业风险管理 (ERM)：专注于最大限度地降低战术和运营风险以实现业务目标，而不关注技术、战略或数据。
• 综合风险管理 (IRM)：通过特定技术的视角而不是从数据、业务目标或战略角度评估日常风险影响。
• 治理、风险和合规性(GRC)：在日常监管环境中跟踪数据风险，较少关注技术、策略和业务目标。
• 战略风险管理 (SRM)：将战略置于风险分析的核心，而较少关注降低风险或特定的业务目标、数据类型或技术。

如何将 IRM 与合规性和监管要求相结合

所有数据安全合规性和法规要求都侧重于特定资产的特定风险。要将这些要求整合到 IRM 中，需要评估这些风险，对其进行量化，并将其与特定系统和控制措施关联起来。

例如，《健康保险流通与责任法案》（HIPAA）对个人健康信息进行监管，并对数据泄露或数据无法访问处以罚款。IRM 通过跟踪相关存储库、传输和系统以及通过 HIPAA 罚款估算增加风险来核算 HIPAA 数据。风险升级会增加安全预算，IRM 会跟踪、监控和报告每种数据类型、系统或控制以显示合规性。

什么是综合风险管理框架？

IRM 框架提供了严格的流程，以正式且可重复的方式在整个组织内实施 IRM。如果没有框架，您可以了解 IRM 的组成及其优势，但缺乏实施它的方法。IRM 和其他风险管理工具可以提供针对特定供应商的风险框架；但是，工具只能提供部分解决方案。所有框架都需要包括下面介绍的六个关键步骤，以制定有效的 IRM 计划。

构建有效 IRM 框架的 6 个步骤

IRM 框架需要三个阶段的六个阶段的循环。在规划阶段，制定策略并评估潜在风险。在实施阶段，应用风险缓解措施并监控结果。在管理阶段，响应事件并报告状态。

1. 制定风险策略

IRM 框架周期从规划阶段开始，该阶段记录目标和范围。范围可以是整个组织、部门、系统或特定数据。整合范围内所有利益相关者的反馈：运营、领导、流程所有者、IT 安全，有时还包括供应商或客户。如果每个利益相关者都了解风险与其目标和职责之间的关系，他们就更有可能接受 IRM 策略。

在此阶段，纳入治理或合规性问题并确定风险偏好（可容忍的最大损失额）。所有业务、运营和网络安全风险管理目标在报告阶段都应具体且可衡量，并且范围中的每个组件都应与业务目标相关联，以了解组件受损时的风险。

2. 评估风险

规划阶段继续对战略发展过程中确定属于范围的不同要素进行风险评估。风险评估考虑单独和组合风险，并考虑负面风险（业务损失）和正面风险（业务收益）。目标是生成与 IRM 范围相关的数据、人员、流程和系统的风险登记册。

使用概率和金额使风险可衡量，最好是可量化。定性风险可能产生得更快，但缺乏有形性，无法帮助确定真正的风险偏好。内部和外部风险都应考虑，因为数据泄露和飓风都会对业务产生重大影响。

许多付费和免费工具专注于实现 IRM 流程的这一阶段。例如， Klarna 最近发布了 Gram ，这是一款用于将风险与系统和数据流关联起来的可视化工具，可从 GitHub 免费下载。无论是使用自动风险评估工具、IRM 工具还是免费使用的程序，都可以详细绘制数据流并捕获所有可能的故障点。

 

3.降低风险

IRM 的风险缓解阶段将流程从理论推进到实施。风险评估阶段会创建风险登记册，可将其与战略发展中制定的风险偏好进行比较。在风险缓解阶段，必须消除或降低超出业务风险偏好的风险。

利益相关者应集思广益，探讨如何通过控制措施、流程变更、保险或业务决策（例如“停止接受信用卡付款”）来管理风险。此阶段旨在制定一套优先的最佳风险控制方案。

4. 监控状态

已建立的安全控制措施应能降低风险，但应设置状态监控以进行检查。IRM 框架的实施阶段侧重于验证控制措施是否按预期发挥作用。监控可检测系统故障、入侵指标、漏洞和操作偏差。

漏洞扫描、渗透测试、合规性审计和网络监控是网络安全监控的组成部分。每种监控形式都提供指标和报告，用于验证现有控制的有效性、检测潜在攻击和预测操作系统故障。

5. 响应事件

当监测检测到风险事件（设备故障、潜在攻击、暴露漏洞等）时，事件响应决定了快速应对风险并控制损失的流程和程序。即使不会定期使用，也要提前开发综合风险管理框架的这一管理阶段。

制定事件响应计划，以避免做出耗时的决策，例如联系哪位高管、何时联系网络安全保险公司以及何时引入外部事件响应团队。计划无法涵盖所有可能性，但大多数事件都可以在现有计划的基础上进行，更快的响应可以限制潜在损失。

6. 沟通并报告结果

沟通和报告阶段概述了常规沟通和特定事件所需的不同类型的沟通。此管理阶段以状态监控和事件响应为基础。监控将生成状态报告和渗透测试报告，以验证现有控制措施。每个事件响应都会生成事件响应报告，详细说明从检测到补救的事件响应处理。

决策、合规报告和向董事会报告的定期报告应使用明确定义的指标。利益相关者需要收到以适当的技术水平和适当的细节水平总结这些报告的沟通。有效的 IRM 提供组织范围内的报告，以指导员工培训并帮助培养风险意识文化。

IRM 实施的 5 大最佳实践

仅靠框架并不能改善风险管理。最佳实践通过确保成功的适当要素来确保有效的 IRM，具体来说就是将 IRM 与业务实践相结合、对资产进行分类、集中运营、标准化流程、详细连接系统、有效使用信息、让所有相关方参与进来，并使 IRM 成为组织的重要关注点。

资源分类

将所有资产和数据类型分配到特定于组织的一般类别。这些类别创建了一个分类法，使组织的不同部门能够对其系统达成共识，并确定潜在的冗余以进行消除。通用术语还可以减少混淆，并使内部和董事会之间的沟通更加一致。

集中管理

整合权限、数据流、存储库和系统管理。此过程可消除孤岛间存在的冗余，防止安全性或合规性管理不一致，并降低宝贵资源的攻击面。在许多情况下，整合可以通过减少冗余存储、测试或报告来节省资金。

拥抱标准化

标准化事件响应流程、监控标准、测试和报告，以实现自动化、加快决策速度并缩短大多数问题的响应时间。标准化使整个组织的数据客观、可量化且可比较，从而改善分析并实现统一决策。节省下来的单调重复任务时间可以腾出时间进行战略思考和处理异常情况。

建立正式联系

正式识别资源之间的依赖关系、连接和数据流。正式连接关系可识别冗余、安全漏洞和潜在利益相关者（包括供应商或客户）。将风险与目标、关键风险指标和业务活动联系起来，以提高每个人对业务的理解。

让利益相关者参与

通过让所有利益相关者（内部和外部）参与 IRM 的制定和持续修订，创建风险意识文化和全企业责任制。使用跨职能团队提取每个人的知识，以创建准确的系统图和全面的风险评估。如果没有广泛的参与，偏差的结果将是不准确的、无效的，并且可能会面临阻力。