提供詳細資訊關於您組織、資產群組和風險情境,以進行全面的網路風險量化分析。
進階商業自我評估是一個多部分的工作區,包含四個標籤頁:「Business profile」、「Security practices」、「Enriched asset groups」 和 「Risk scenarios」。您可以以任何順序完成這些標籤頁,並隨時使用 「儲存」 儲存進度。每個標籤頁都會顯示完成百分比。所有標籤頁的完成度越高,風險量化結果的信心水平就越高。當您準備好進行分析時,請點擊頁腳中的 「Analyze and quantify risk」。
標有星號 (*) 的欄位為必填項目。填寫建議的欄位可提高結果的準確性和信心水準。
Business profile
商業資料頁籤收集有關您組織的身份、財務、人力資源和法律責任的信息。更詳細的信息可提高量化風險估算的準確性以及同業比較的相關性。
「Business overview」 區段位於商業資料頁籤中,收集有關您組織的身份、位置資訊和行業資料的資訊:
|
欄位
|
說明
|
|
商業名稱
|
您組織的法律或常用商業名稱。
|
|
Industry *
|
最能描述您組織的主要行業。用於尋找可比較的同業組織並將行業特定的安全威脅資料應用於分析。
|
|
次級產業
|
任何適用於您組織運作的其他行業。用於擴大同業比較和安全威脅建模的範圍。
|
|
大小 *
|
您組織的員工總數範圍。
|
|
商業網站
|
您組織的公開「關於」頁面的 URL。用於支援同儕比較。
|
|
城市,州,郵遞區號
|
您組織主要位置的城市、州或省份及郵遞區號。用於區域安全威脅建模和同業比較。
|
|
國家/地區 *
|
您組織主要運營的國家或地區。用於區域安全威脅建模和同業比較。
|
「Workforce」 區段位於商業設定檔標籤中,收集有關您事件回應和技術支援中心團隊的規模和成本的資訊:
|
欄位
|
說明
|
|
您的事件回應團隊有多少人?
|
主要角色涉及偵測、控制和修復安全事件的員工和承包商人數。包括在重大事件中動員的所有人員。在您安全運營中心 (SOC) 的組織圖、值班表或事件回應 Playbook
中查找事件回應團隊人數。
|
|
每位事件回應小組成員的平均每日成本
|
每位事件回應小組成員的平均每日總成本,包括薪水、福利和管理費用。您可以透過將每位小組成員的年度成本除以260個工作日來估算每日成本。
|
|
技術支援中心團隊有多少人?
|
負責在事件期間恢復 IT 服務並支援使用者的員工和承包商人數,不包括已計入事件回應團隊的安全調查員。
|
|
每位技術支援中心團隊成員的平均每日成本
|
每位技術支援中心成員的平均每日總成本,包括薪水、福利和管理費用。您可以通過將每位成員的年度成本除以260個工作日來估算每日成本。
|
「Finance」 區段的商業資料頁籤收集有關您組織的收入和安全相關支出的資訊:
|
欄位
|
說明
|
|
去年總收入 *
|
您組織在最近一個財政年度的總收入。用於計算年度收入的貨幣風險百分比,並作為估算金融業損失的基礎。請在您最新的年度報告、審計財務報表或內部損益表中找到總收入數字。
|
|
年度收入中用於危機溝通和聲譽管理的百分比
|
年度收入中預算用於危機溝通規劃、應對和恢復的部分。請在您溝通或公關預算、公關代理合約或行銷預算中找到該數字。危機溝通支出通常以整體行銷預算的百分比表示。
|
|
年度收入中用於訴訟或法律費用的百分比
|
年度收入中用於經常性法律費用的部分,包括外部律師費用、法院費用、和解金及法律顧問預付費。請在您法律部門的預算、法律和專業費用的總分類帳或外部律師的發票中查找該數字。對於大多數組織而言,年度收入的0.1%至1%是典型範圍。
|
|
年度收入中用於網路安全保護的百分比
|
年度收入中預算用於網路安全的部分,包括工具、人員和服務。請在您的安全預算或支出記錄、IT或安全成本中心報告,或年度預算或金融業報告中查找該數字。
|
|
發生安全事件後每位受影響者的平均通知成本
|
通知每位受影響者(包括客戶、員工和供應商)在安全事件後的平均通信和管理成本。請在違規響應文件、網絡保險政策指導或通知供應商提案中查找數據。每人的成本因通知方式而異,其中僅限電子郵件的通知成本最低,而信用監控服務的成本最高。
|
「Legal and liability」 區段的商業資料頁籤收集有關您組織的市場狀況和法規遵循的信息:
|
欄位
|
說明
|
|
貴公司在哪個證券交易所上市?
|
您公司股票上市的公開證券交易所。公開交易的公司在發生安全事件後通常面臨額外的報告義務,這可能會增加相關成本。如果您的公司是子公司,請選擇母公司上市的交易所。如果您的公司或其母公司是私人公司,請選擇「None of the above」。
|
|
您的股票代號是什麼?
|
您公司的股票代碼。當選擇的證券交易所不是「None of the above」時顯示。
|
|
貴組織是否通常遵循網路安全事件處理的法規指導?
|
貴組織是否遵循管理網路安全事件的法規要求和建議做法,包括在規定的時間範圍內報告事件、保留日誌和數位證據,以及採取強制性控制措施。請在您的事件回應政策、法規合規報告或治理、風險和合規文件中尋找答案。
|
Security practices
安全性實務標籤頁會根據控制家長防護收集有關您組織已實施的安全控制的信息。答案用於評估您組織的安全暴露情況,並估算每個情境的金融業風險。
問題分為兩組:
-
Answerable by connected data sources:當連接適用的資料來源並執行分析後自動完成。
-
Manual answer required:必須手動回答。
 |
重要當連接的資料來源提供問題的答案時,該資料來源的值將取代先前手動輸入的答案。
|
對於每個安全控制,選擇最能描述您組織目前實踐的實施級別。完整的控制家長防護列表、包含的控制以及家長防護特定級別描述,請參見安全實踐實施層級。
|
層級
|
說明
|
|
1 - 未完成
|
幾乎沒有相關的安全控制措施。
|
|
2 - 基本
|
某些相關的安全控制已就位,並具有基本程序或有限範圍。
|
|
3 - 功能正常
|
相關的安全控制已在全球範圍內建立,但未必一致地執行。
|
|
4 - 全面
|
相關的安全控制已在全球範圍內實施並監控。
|
|
5 - 進階
|
動態、主動的安全控制全面整合到業務運營中。
|
Enriched asset groups
豐富資產群組標籤頁允許您為特定的資產群組提供詳細的背景資訊,以提高風險估算的準確性。「Whole organization」群組始終存在,代表您組織中的所有資產。點擊「Add enriched asset group」以根據您定義的資產群組配置其他群組。配置的豐富資產群組可在風險情境標籤頁中選擇。
每個增強的資產群組都有兩個標籤:
-
Asset group profile:收集特定群組的金融業、員工、責任和敏感資料信息。
-
Asset group security practices:包含與全域安全實務標籤相同的安全控制問題,但答案僅適用於所選的資產群組。
可在「Asset group profile」索引標籤中使用以下欄位。
「Asset group overview」 區段的資產群組設定檔頁籤收集所選資產群組的金融業和負債資訊:
|
欄位
|
說明
|
|
資產組中的資產總價值
|
資產群組中硬體、軟體及主要授權的總貨幣價值。用於估算安全事件發生時的潛在替換和恢復成本。對於硬體,將裝置數量乘以平均單位成本。對於雲端或基於軟體的群組,使用年度雲端和授權的總成本。
|
|
依賴此資產組提供服務的年度收入估計百分比
|
資產群組所提供服務的年度收入估計比例。如果其他資產群組也提供相同的服務,請僅指定此群組的估計份額,以避免高估。
|
|
依賴此資產群組服務的簽約業務夥伴數量
|
外部業務合作夥伴若資產群提供的服務不可用,將受到服務水平協議或罰款的約束。請在您的合約庫、供應商管理系統或客戶關係管理記錄中查找相關數據。
|
|
每當此資產群組的服務失敗時,每個合約業務夥伴所需支付的平均罰款或服務抵免額
|
當資產組未能提供服務時,每位簽約業務夥伴所需支付的平均金融業罰款或服務抵免,包括服務水平協議罰款和違約賠償金。如果沒有適用的合約罰款,請指定為零。請在您的合約存儲庫或服務水平協議文件中查找該數字。
|
「Sensitive data information」 區段的資產群組設定檔頁籤收集所選資產群組中儲存或處理的敏感資料記錄量:
|
欄位
|
說明
|
|
在此資產群組中存儲或處理個人可識別信息 (PII) 記錄的人數
|
在資產群組中儲存或處理個人可識別資訊的個人數量,例如姓名、地址或識別號碼。包括與可識別個人相關的客戶、員工、申請人和使用者。請在您的資料分類記錄、資料防護系統報告或客戶和人力管理系統記錄中查找此數字。
|
|
在此資產群組中存儲或處理受保護健康資訊 (PHI) 記錄的人數
|
在資產群組中儲存或處理受保護健康資訊的個人數量。受保護健康資訊包括臨床病歷以及健康相關資料,例如預約、索賠和會員ID。如果您組織不處理受保護健康資訊,請指定為零。
|
|
此資產群組中儲存或處理的支付卡行業 (PCI) 持卡人記錄數量
|
在資產群組中儲存或處理的付款持卡人記錄數量,包括卡號及相關資料。排除從未儲存或處理付款卡資料的系統,例如完全外包的付款頁面。請在您的付款處理器報告或 PCI 範疇文件中查找該數字。
|
|
在此資產群組中儲存或處理的其他敏感資料記錄數量
|
在資產群組中儲存或處理的敏感資料記錄數量不屬於 PII、PHI 或 PCI 類別。包括商業機密、源代碼、機密合約、金融業報表和內部策略文件。在您的資料分類記錄中計算具有機密、限制或同等敏感性標籤的記錄。
|
「Finance and workforce」 區段的資產群組設定檔頁籤收集所選資產群組的員工規模和成本資訊:
|
欄位
|
說明
|
|
有多少員工依賴此資產群組來執行他們的工作?
|
依賴資產群中的系統和服務進行日常工作的員工或承包商人數。請在您的服務目錄、Identity and Access Management 記錄或人員編制記錄中查找該數字。
|
|
每位員工依賴此資產群組的每日貨幣成本
|
每位員工的平均每日總成本,這些員工的工作依賴於資產組,包括薪水、福利和管理費用。估算每日成本的方法是將每位員工的年度成本除以260個工作日。
|
Risk scenarios
風險情境標籤顯示所有已啟動的風險情境。點擊「Manage scenarios」以選擇要啟動的情境。點擊篩選標籤或使用搜尋欄位以查找特定情境。欲了解所有可用情境的描述,請參閱網路風險量化風險情境。
對於每個已啟動的情境:
-
指派一個或多個增強資產群組以納入分析。在分析運行之前,必須指派至少一個增強資產群組。
-
請回答攻擊結果問卷。問題適用於所有具有相同攻擊結果類型的情境,因此只需回答一次即可涵蓋所有相關情境。
以下包含攻擊結果問題:
|
問題
|
說明
|
|
過去一年,[攻擊結果]對您企業造成了多少次影響?
|
在過去 12 個月中,對貴組織造成影響且具有特定攻擊結果的已確認或高度懷疑的事件數量。如果未發生攻擊結果,請指定為零。請在您的事件追蹤系統、Case Management
記錄或事件回應報告中查找該數字。
|
|
每次事件影響的平均資產數量
|
每次事件中遭到入侵或需要隔離的資產平均數量,包括設備和帳戶。當至少發生一起事件時顯示。將所有事件中受影響的資產總數除以事件數量以計算平均值。
|
|
每次事件平均損失的收入
|
每次事件平均損失的收入,包括銷售損失、延遲開票和服務中斷成本。當至少發生一個事件時顯示。
|
|
每次事件平均所需的恢復天數
|
還原正常運作的平均時間,出現在至少發生一個事件時。請在您的事件回應記錄或 IT 服務管理記錄中查找該數據。
|
|
每個業務夥伴每次事件所需的平均技術支援中心天數
|
每次事件中,您的技術支援中心團隊在溝通、協調和技術協助上為每個受影響的供應商、客戶或分銷商所花費的平均天數。當至少發生一個事件時顯示。如果支援時間以小時記錄,請除以8以轉換為天數,然後再除以受影響的合作夥伴數量以獲得每個合作夥伴的平均值。
|
|
每次勒索軟體事件的平均贖金支付金額
|
每次勒索軟體事件中支付給安全威脅行為者的平均金額,包括未支付贖金的事件。如果從未支付過贖金,請指定為零。僅適用於勒索軟體攻擊結果類型。請在您的法律記錄、網路保險記錄或事件回應報告中查找此數字。
|
|
資料外洩事件後,因業務合作夥伴終止或縮減業務而損失的平均收入
|
當業務夥伴因資料外洩事件而結束或大幅減少業務關係時,平均損失的收入。如果因安全事件直接導致夥伴流失未發生,請指定為零。僅在資料外洩攻擊結果類型中出現。
|
|
年度預算支出於資料防護外洩保護
|
年度預算用於安全控制、監控和防護措施,專門針對資料外洩,包括資料外洩防護、端點偵測以及電子郵件或網關等工具。僅適用於資料外洩攻擊結果類型。如果工具具有多重用途,請估算主要用於資料外洩防護的部分。
|