治理團隊就緒後,下一步就是識別和評估與組織使用雲端相關的所有重大風險。 在這種情況下,「風險」是任何潛在的不良結果,例如安全漏洞、合規性違規、服務中斷或成本超支,這些結果可能是由於雲端的使用方式而導致的。 透過評估風險,治理團隊可以獲得在下一步中制定相關政策所需的資訊。 此風險評估應在治理設定期間進行,然後定期重新審視,並在發生重大變更時重新審視,例如新專案、新威脅、稽核和事件。
1. 識別雲端風險
首先編制組織在雲端中面臨的風險的完整清單。 專注於普遍適用的風險,而不是極其小眾的場景。 您可以從明顯的高優先順序風險開始,並隨著時間的推移擴展清單。
列出所有雲端資產。 列出所有雲端資產,以便全面識別與之相關的風險。 例如,您可以使用 Azure 入口網站、Azure Resource Graph、PowerShell 和 Azure CLI 來檢視訂用帳戶中的所有資源。
發現雲端風險。 開發穩定的風險目錄,以引導雲端治理原則。 若要防止頻繁調整,請著重於一般雲端風險,而不是特定工作負載特有的風險。 從高優先級風險開始,並隨著時間的推移制定更全面的清單。 常見的風險類別包括法規遵循、安全性、營運、成本、資料、資源和 AI。 包含貴組織特有的風險,例如非 Microsoft 軟體、合作夥伴或廠商支援,以及內部雲端能力。
讓主要利害關係人參與進來。 收集來自不同組織角色 (IT、安全性、法律、財務和業務單位) 的意見,以考慮所有潛在風險。 這種協作方法可確保全面了解與雲端相關的風險。
驗證風險。 聘請對雲端風險識別有深入了解的外部專家來審查和驗證您的風險清單。 這些專家可以是 Microsoft 帳戶小組或專門的 Microsoft 合作夥伴。 他們的專業知識有助於確認所有潛在風險的識別並提高風險評估的準確性。
Azure 便利:識別雲端風險
下列指引旨在協助您識別 Azure 中的雲端風險。 它提供雲端控管主要類別的範例起點。 Azure 可協助將尋找風險的部分程式自動化。 使用 Azure 工具,例如 Azure Advisor、適用於雲端的 Microsoft Defender、Azure 原則、Azure 服務健康情況和 Microsoft Purview。
識別法規遵循風險。 識別不遵守影響雲端資料和營運的法律和法規架構的風險。 了解您所在行業的監管要求。 使用 Azure 合規性檔 來開始。
識別安全風險。 識別危及雲端環境機密性、完整性和可用性的威脅和漏洞。 使用 Azure 來評估 您的雲端安全性狀態 ,並偵測 身分識別風險。
識別成本風險。 識別與雲端資源成本相關的風險。 與成本相關的風險包括過度佈建、佈建不足、使用率不足,以及資料傳輸費用或服務擴展帶來的意外成本。 使用 成本評估 來識別成本風險。 使用 Azure 來預估 Azure 定價計算機的成本。 分析和預測 當前資源的成本。 識別雲端成本的 意外變化 。
識別營運風險。 識別威脅雲端營運連續性的風險,例如停機和資料遺失。 使用 Azure 工具來識別 可靠性和效能的風險。
識別資料風險。 識別與雲端內資料管理相關的風險。 考慮資料處理不當和資料生命週期管理中的缺陷。 使用 Azure 工具來 協助識別資料風險 ,並 探索敏感性資料的風險。
識別資源管理風險。 識別雲端資源的佈建、部署、設定和管理所產生的風險。 識別 卓越營運的風險。
識別 AI 風險。 定期 進行紅隊語言模型測試。 手動測試 AI 系統,並使用 AI 的自動風險識別工具補充手動測試。 尋找常見的 人類與人工智慧互動失敗。 考慮與人工智慧系統的使用、存取和輸出相關的風險。 檢閱 負責任 AI 和負責任 AI 成熟度模型的原則。
2. 分析雲端風險
為每個風險分配定性或定量排名,以便您可以按嚴重性確定它們的優先順序。 風險優先順序結合了風險機率和風險影響。 更喜歡定量風險分析而不是定性,以獲得更精確的風險優先順序。 若要分析雲端風險,請遵循下列策略:
評估風險機率
估計每年發生每種風險的定量或定性機率。 使用百分比範圍 (0%-100%) 來表示年度定量風險機率。 低、中和高是定性風險機率的常見標籤。 若要評估風險機率,請遵循下列建議:
使用公開基準測試。 使用報告、研究或服務等級協定 (SLA) 中的資料來記錄常見風險及其發生率。
分析歷史資料。 查看內部事件報告、稽核日誌和其他記錄,以確定過去類似風險發生的頻率。
測試控制有效性。 為了將風險降至最低,請評估當前風險緩解控制的有效性。 考慮檢閱控制測試結果、稽核結果和效能指標。
判斷風險影響
估計發生的風險對組織的定量或定性影響。 貨幣金額是表示定量風險影響的常用方式。 低、中和高是定性風險影響的常見標籤。 若要判斷風險影響,請遵循下列建議:
進行財務分析。 透過查看停機成本、法律費用、罰款和補救工作成本等因素來估計風險的潛在財務損失。
進行聲譽影響評估。 使用類似事件的調查、市場研究或歷史數據來估計對組織聲譽的潛在影響。
進行營運中斷分析。 透過估計停機時間、生產力損失和替代安排的成本來評估營運中斷的程度。
評估法律影響。 估算與不合規或違規行為相關的潛在法律成本、罰款和處罰。
計算風險優先順序
為每個風險指派風險優先順序。 風險優先順序是您對風險的重視程度,以便您知道是否要以高、中或低緊急性處理風險。 風險影響比風險機率更重要,因為高影響風險可能會產生持久的後果。 治理團隊必須在整個組織中使用一致的方法來確定風險的優先順序。 若要計算風險優先順序,請遵循下列建議:
使用風險矩陣進行定性評估。 建立矩陣,為每個風險指派定性風險優先順序。 矩陣的一個軸代表風險機率(高、中、低),另一個代表風險影響(高、中、低)。 下表提供範例風險矩陣:
低影響 中等影響 高衝擊力 低概率 非常低 中等低 中等高 中機率 Low 中等 High 大概率 中等 High 非常高 使用公式進行定量評估。 使用下列計算作為基準: 風險優先順序 = 風險機率 x 風險影響。 視需要調整變數的權重,以量身打造風險優先順序結果。 例如,您可以使用以下公式更強調風險影響: 風險優先級 = 風險機率 x (風險影響 x 1.5)。
指派風險層級
將每種風險分為三個級別之一:主要風險(第 1 級)、次風險(第 2 級)和風險驅動因素(第 3 級)。 風險等級可讓您規劃適當的風險管理策略並預測未來的挑戰。 1 級風險威脅組織或技術。 2級風險是1級風險的子類別。 3 級風險是可能最終導致一個或多個 1 級或 2 級風險的趨勢。 例如,考慮不遵守資料保護法 (層級 1)、雲端儲存體設定不當 (層級 2) ,以及法規要求的複雜性增加 (層級 3)。
確定風險管理策略
針對每個風險,確定適當的風險處理方案,例如避免、減輕、轉移或接受風險。 提供選擇的解釋。 例如,如果您決定接受風險,因為減輕風險的成本太昂貴,您應該記錄該推理以供將來參考。
指派風險擁有者
為每項風險指定主要風險負責人。 風險負責人有責任管理每個風險。 此人負責協調每個相關團隊的風險管理策略,並且是風險升級的初始聯絡點。
3. 文件雲端風險
記錄每個風險和風險分析的詳細資訊。 建立風險清單 (風險登記冊),其中包含識別、分類、優先順序和管理風險所需的所有資訊。 開發風險文件的標準化語言,以便每個人都可以輕鬆了解雲端風險。 考慮包含以下元素:
| 領域 | Description |
|---|---|
| ID | 每個風險的唯一識別碼。 它確保了可追溯性和簡單的參考。 使用循序標籤(例如,R01、R02);新增風險時遞增序列,移除風險時留下間隙,或僅在必要時重新編號。 |
| 管理狀況 | 風險的目前狀態。 它闡明了風險是否需要採取行動。 使用“打開”或“關閉”並在狀態發生變化時立即更新。 |
| 類別 | 對風險進行分類的標籤。 它對風險進行分組,以便進行有針對性的治理和報告。 使用法規遵從性、安全性、成本、作業、AI 或資源管理等類別。 |
| Description | 風險的簡短、具體描述。 它解釋了威脅、受影響的資產和範圍。 用一句話說明風險,並包括原因或切入點。 |
| 可能性 | 風險發生的年度機率。 它支援定量優先順序和比較。 使用百分比 (0%–100%) 或定性標籤 (低、中、高)。 |
| Impact | 如果發生風險,對組織造成的後果。 它為補救工作和成本估算提供資訊。 使用貨幣估計或定性標籤(低、中、高)並記錄估計的基礎。 |
| Priority | 結合概率和後果而計算的嚴重性。 它指導治療順序和資源分配。 使用金額或定性標籤,並記錄計算方法 (例如,機率×影響)。 |
| Level | 風險階層內的風險層。 它定義了升級路徑和管理範疇。 使用主要威脅 (層級 1)、子風險 (層級 2) 或風險驅動因素 (層級 3)。 |
| 管理策略 | 選擇處理風險的方法。 它定義了主要行動和預期結果。 使用「減輕」、「接受」、「避免」或「轉移」等動作,並說明選擇的理由。 |
| 管理執行 | 實施策略的控制和流程。 它確保策略執行並保持有效。 列出特定的技術控制、政策、監控和審查節奏。 |
| 所有者 | 負責管理風險的個人或角色。 它分配了責任和單一聯繫點。 記錄擁有者的角色或姓名、聯絡方式和升級指示。 |
| 截止日期 | 應用管理策略或關閉風險的目標日期。 它為問責和追蹤創造了最後期限。 設定日期,並在風險結束或計劃變更時更新。 |
如需詳細資訊,請參閱 風險清單範例。
4. 傳達雲端風險
將已識別的雲端風險清楚地傳達給執行發起人和執行層級管理層。 目標是確保組織優先考慮雲端風險。 定期提供雲端風險管理的最新資訊,並在需要額外資源來管理風險時進行溝通。 促進一種文化,將管理雲端風險管理和治理成為日常營運的一部分。
5. 審查雲端風險
檢閱目前的雲端風險清單,以確保其有效且準確。 審查應該定期進行,並且還應該針對特定事件做出回應。 視需要維護、更新或移除風險。 若要檢閱雲端風險,請遵循下列建議:
安排定期評估。 設定週期性排程來檢閱和評估雲端風險,例如每季、每半年或每年。 尋找最能適應人員可用性、雲端環境變更速率和組織風險承受能力的審查頻率。
進行基於事件的審查。 檢視風險以應對特定事件,例如風險防範失敗。 當您採用新技術、變更業務流程,以及探索新的安全威脅事件時,請考慮檢閱風險。 此外,請考慮在技術、法規合規性和組織風險承受能力變更時進行檢閱。
檢閱雲端控管原則。 保留、更新或移除雲端治理原則,以解決新風險、現有風險或過時的風險。 視需要檢閱雲端治理原則陳述式和雲端治理強制執行策略。 當您移除風險時,請評估與其相關聯的雲端控管原則是否仍相關。 請諮詢專案關係人,以移除雲端治理原則,或更新原則,將其與新風險產生關聯。
範例風險清單
下表是範例風險清單,也稱為風險登錄。 量身打造範例,以符合組織 Azure 雲端環境的特定需求和內容。
| 風險標識碼 | 風險管理狀況 | 風險類別 | 風險描述 | 風險概率 | 風險影響 | 風險優先級 | 風險等級 | 風險管理策略 | 風險管理執行 | 風險負責人 | 風險結束日期 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 號 | 打開 | 法規合規性 | 不符合敏感資料要求 | 20% 或中等 | $100,000 或更高 | $20,000 或高額 | 層級 2 | Mitigate | 使用 Microsoft Purview 進行敏感性數據監視。 Microsoft Purview 中的合規性報告。 |
合規負責人 | 2024-04-01 |
| R02 | 打開 | 安全性 | 未經授權存取雲端服務 | 30% 或更高 | $200,000 或更高 | $60,000 或非常高 | 層級 1 | Mitigate | Microsoft Entra ID 多重要素驗證 (MFA)。 Microsoft Entra ID 治理的每月存取審查。 |
安全主管 | 2024-03-15 |
| R03 號 | 打開 | 安全性 | 不安全的程式碼管理 | 20% 或中等 | $150,000 或以上 | $30,000 或高額 | 層級 2 | Mitigate | 使用定義的程式碼儲存庫。 使用公共圖書館的隔離模式。 |
開發主管 | 2024-03-30 |
| R04 | 打開 | 費用 | 由於過度配置和缺乏監控,雲端服務超支 | 40% 或更高 | $50,000 或中等 | $20,000 或高額 | 層級 2 | Mitigate | 設定工作負載的預算和警示。 檢閱並套用 Advisor 成本建議。 |
成本領先優勢 | 2024-03-01 |
| R05 | 打開 | Operations | 由於 Azure 區域中斷而導致服務中斷 | 25% 或中等 | $150,000 或以上 | $37,500 或更高 | 層級 1 | Mitigate | 關鍵任務工作負載具有主動-主動架構。 其他工作負載具有主動-被動架構。 |
營運主管 | 2024-03-20 |
| R06 | 打開 | 資料 | 由於加密和資料生命週期管理不當導致敏感資料遺失 | 35% 或高 | $250,000 或更高 | $87,500 或 非常高 | 層級 1 | Mitigate | 在傳輸中和靜態時套用加密。 使用 Azure 工具建立資料生命週期原則。 |
資料主管 | 2024-04-10 |
| R07 | 打開 | 資源管理 | 雲端資源配置錯誤導致未經授權的存取和資料外洩 | 30% 或更高 | $100,000 或更高 | $30,000 或「非常高」 | 層級 2 | Mitigate | 使用基礎設施程式碼化(IaC)。 使用 Azure 原則強制執行標記需求。 |
資源領導人 | 2024-03-25 |
| R08 號 | 打開 | AI | AI 模型因訓練資料不具代表性而產生有偏見的決策 | 15% 或低 | $200,000 或更高 | $30,000 或中等高額 | 層級 3 | Mitigate | 使用內容篩選緩解技術。 紅隊 AI 模型每月一次。 |
AI 主管 | 2024-05-01 |