Adobe的安全风险管理框架SRMF

关键要点

Adobe的SRMF帮助高级管理层优先处理缓解决策，确保全员了解最新的网络安全挑战与风险。该框架通过整合不同的安全因素，提供统一的风险登记，从而实现更有效的风险管理。Adobe持续投资于网络安全实践，并根据不断发展的合规性和安全框架需求进行调整。

来源：Maarten Van Horenbeeck / Adobe

随着数字化业务的快速发展，企业面临的网络安全挑战前所未有。Adobe的首席安全官Maarten Van Horenbeeck表示，“互联网变得更加紧密相连，软件产品不再孤立，而是通过整合彼此来以整体方式解决问题。”这种整合不仅提供了创新的机会，也带来了许多新风险。

为了迎接这些新的挑战与风险，Adobe致力于建立合作文化，聘请有才能和多样化的网络安全专业人员，并谨慎选择技术的购买或开发方式。Van Horenbeeck指出：“这个新世界让我们必须对风险进行创新思考，并在看到变化时及时作出反应。”

Adobe的技术治理、风险与合规GRC团队在提高组织对网络安全标准的理解及如何获得相关认证方面起到了重要作用。Van Horenbeeck提到：“越来越多地，这个团队专注于自动化安全控制，以确保持续合规，因为人工操作成本高且可靠性低。”

为了实现这一目标，TechGRC团队开发了一个通用控制框架CCF，致力于在整个组织中建立风险与控制矩阵。同时，团队还在CCF的基础上推出了新的安全风险管理框架SRMF，以进一步简化相关标准和法规的评估，深入理解威胁态势，降低风险。

Adobe因其在SRMF上的卓越表现获得了2024年CSO奖，以表彰表现出色的安全项目。

安全风险管理框架

Adobe的SRMF框架是基于在公司范围内部署和操作CCF所获得的经验而演变而来的。TechGRC的董事Rahat Sethi表示：“我们识别出了在这一领域内进一步利用数据如威胁情报、事件响应、产品和软件安全测试，以及审计与评估结果的增长与改善机会。”

这种做法有助于推动和支持基于风险的安全业务决策与优先级排列。“意识到这一点后，我们回到白板前，制定了一种方法论，鼓励快速识别和测量安全风险，并在不断变化的安全威胁环境中实施减轻控制措施，”Sethi说。

火烧云加速器app官网

SRMF的主要目标之一是建立一个敏捷框架，将安全的不同方面统一到一个集中化的风险登记簿中，以向风险所有者和决策者提供有意义且一致的结果。Sethi补充道，“我们认为设计一种方法论，能够实现安全风险的‘同比’比较非常重要。有了SRMF的结果，我们的安全领导能够做出更明智的决定，有效地优先处理和调整控制措施，以推动风险缓解工作。”

使SRMF实现运作包括成立专门的委员会，负责发现和分析风险。其包括一个负责整体项目执行的风险管理团队和一个操作委员会，后者负责风险分流，包括对安全威胁的审查，以及分析风险以确定其可能性和影响，以及对Adobe的固有和剩余风险。

此外，Adobe还建立了一个指导委员会，由Van Horenbeeck领导，负责对集中安全风险程序的监督和治理，并将程序的选定结果整合到规划与预算周期中。

“框架的关键是风险管理团队，负责分析新出现的风险，跨业务进行数据收集，了解其影响，并确定降低安全风险的路径，”Sethi说道。

持续投资

Adobe为其产品、服务、运营和企业持续投资于新的网络安全实践。Van Horenbeeck提到，最近的一个亮点是在应对监管和安全框架要求不断演变的背景下推出