其次,该指标必须有一个相关的阈值。组织通险容忍度来定义风险指标阈值。FAIR研究所将风险偏好定义为“在给定业务目标和资源的情况下,组织认为可接受的损失风险目标水平”,而风险容忍度则定义为“组织愿意容忍的与自身风险偏好的差异程度”。例如,某个组织可能确定其无法容忍高风险环境中存在任何“严重”漏洞。因此,KRI“高风险环境中的“严重”漏洞数量”的阈值为 0。
第三,是什么让一个指标成为“关键”指标?一个团队可以生成许多风险指标,但“关键”风险指标是根据其对整个组织领导者的重要性而选定的风险指标子集。例如,一些关键风险指标 (KRI) 可能与工程和 IT 相关,另一些可能与产品和业务相关。KRI 通常由信息安全团队以外的人员共享和监控。
建议
开发关键风险指标 (KPI) 的方法有很多。Salesforce 使用的一些方法包括:
将风险指标与组织框架相一致,例如安全控制、安全成熟度、向组织领导层演示时使 手机号数据库列表 用的主要风险或威胁
首先试行少量的 KRI,然后根据反馈和对受众的价值进行扩展
让多个利益相关者参与关键风险指标的制定,包括目标受众代表、技术主题专家以及工程和业务利益相关者
步骤 3:考虑“已知的未知数”
对您伤害最大的安全事件是您未曾预见到的事件。
第三步“考虑‘已知的未知因素’”是三个步骤中最直接的,对某些组织来说可能也是最重要的。大多数组织在其环境中都存在已知的未知因素。这些因素包括多年未进行安全审查的遗留应用程序、由于威胁不断演变而风险更高的安全债务、资产超出正常安全评估范围的特殊项目,或安全团队没有足够时间审查的代码。