（精）微软安全级别策略.pptVIP

微软安全级别策略 朱晓文 lukezhu@ 微软（中国）有限公司 微软风险管理流程 微软IT操作框架(Microsoft Operation Framework) Condition-consequence risk statements help to clearly articulate risk 计算风险的危害性(Exposure) 为了得到每个风险可能造成的危害的量化结果 基于可能性(Probability)和影响(Impact) 可能性：该风险发生的几率 影响：该风险发生后的损失或影响 probability x impact = exposure Example: 75% x $500,000 = $375,000 目的是可以比较各风险，以得到风险处理的优先级 风险管理策略 减少风险 Example: Minimize the probability (likelihood of the condition) Example: Minimize the impact (level of the consequence) 风险转移 Example: Move to different hardware Example: Subcontract to a third party 风险规避 Example: Don’t undertake certain projec