安全风险管理指南.pdfVIP

安全风险管理指南 概述 客户在尝试实施安全风险管理计划时，可能会觉得不知所措。原因可能在于他们没有自 己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户， Microsoft编写了 《安全风险管理指南》。 本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说 明如何在四阶段流程（在下文中描述）中实施风险管理计划中的各个阶段，以及如何建 立一个持续的过程以评定安全风险并将其降低到可接受水平。 本指南不考虑技术因素，并参考了许多关于安全风险管理的行业认可标准。它是 Microsoft 承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结构之安全的一个 重要示例。本指南结合了来自MicrosoftIT的实际经验，也包括了由Microsoft客户及 合作伙伴所提供的资料。 本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在 /china/technet/security/guidance上的SecurityGuidanceCenter 中找到。有关本指南的反馈或问题，请发邮件到 secwish@ 第 1 章：安全风险管理指南介绍 第1章介绍《安全风险管理指南》(SRMG)并简短地概述后续各章。它还提供有关以下内 容的信息： •安全风险管理计划的成功关键 •主要术语和定义 •本文的样式约定 •详细信息之参考 第 2 章：安全风险管理实践调查 第2章通过考查其他安全风险管理方法及相关考虑因素，包括如何确定组织风险管理完 善程度，为SRMG奠定基础并提供背景。 第 3 章：安全风险管理概述 第 3 章更详细地探讨了 SRMG 流程的四个阶段，并介绍了一些重要概念及成功之关键。 本章还提供对准备方案的建议，主要通过有效地计划，并将重点放在建立一支角色和职 责明确的、稳定的风险管理小组上。 第 4 章：评估风险 第4章详细介绍第一阶段：评估风险。此阶段中的步骤包括规划、数据收集和确定风险 优先级。确定风险优先级本身由汇总级别和详细级别组成，在定性方法和定量方法之间 找到平衡，以便在时间和工作强度的合理折衷范围内提供可靠的风险信息。评估风险阶 段得出的输出资料是一份带有详细分析的重要风险列表，小组可用这份列表在流程的下 一阶段做出业务决策。 第 5 章：实施决策支持 第5章介绍第二阶段：实施决策支持。在此阶段，小组确定如何以最有效最经济的方式 解决关键风险。小组确定控制措施，评估成本，评估风险降低的程度，然后确定要实施 的控制措施。实施阶段的输出结果是一个清晰且可操作的计划，控制或接受在评估风险 阶段确定的顶级风险。 第 6 章：实施控制和评定计划有效性 第 6 章介绍 SRMG 的最后两个阶段：实施控制和评定计划有效性。在实施控制阶段，缓 解风险责任人根据在决策支持流程中产生的控制解决方案列表制定并执行计划。 在安全风险管理流程的前三个阶段完成后，组织应估计安全风险管理的整体进度。最后 一个阶段“评定计划有效性”介绍“安全风险记分卡”的概念以进一步巩固效果。 附录 附录包括： •附录A：特别风险评估 •附录B：常见信息系统资产 •附录C：常见威胁 •附录D：漏洞 第 1 章：安全风险管理指南介绍 摘要 环境挑战 大多数组织都认识到信息技术(IT)在支持其业务目标中扮演的关键角色。但如今高度连 接的IT基础结构存在于一个敌对性不断增加的环境中-攻击的频率越来越高，而要求的 反应时间越来越短。通常，组织不能够在其业务受到影响之前对新的安全威胁采取应对 措施。管理基础结构的安全性，以及这些基础结构提供的业务价值，已经成为 IT 部门 的首要关注事项。 此外，因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效 地管理他们的 IT 基础结构。很多政府机构和与这些机构没有联系的组织被法律强制要 求至少维持一种最低程度的安全监督。未能前瞻性地管理安全可能因为违背信托和法律 责任而将管理层和整个组织置于风险之中。 一种较好的方法 Microsoft 的安全风险管理方法提供了一种前瞻性的方法，可帮助各种规模的组织响应 他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让企业能够以最具有成 本效益的方式运行，并且使已知的业务风险维持在可接受的水平。它还使组织可以用一 种一致的、条理清晰的