（风险管理）微软安全风险管理指南.pdfVIP

（风险管理）微软安全风险管 理指南 微软安全风险管理指南 V1.0 深圳大成天下信息技术有限公 ShenZhen Unnoo Information Tech., Inc. 二〇〇五年一月 文档信息 文档名称 微软安全风险管理指南 保密级别 文档版本编号 V1.0 制作人 制作日期 复审人 复审日期 适用范围 本文件是从微软网页上摘录成 doc ，方便读者阅读。 分发控制 编号 读者 文档权限 与文档的主要关系 1 大成科技项目组 创建、修改、读取 项目组成员，负责编制、修改、审核本文件 2 王娟 批准 项目的负责人，负责本文档的批准程序 3 吴鲁加 标准化审核 项目标准化负责人，对文档进行标准化审核 版本控制 时间 版本 说明 修改人 V1.0 文档创建 原文档参见： http:///china/technet/security/guidance/secrisk/default.mspx 1. 概述 客户在尝试实施安全风险管理计划时，可能会觉得不知所措。 原因可能在 于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。 为了 帮助这些客户，Microsoft 编写了《安全风险管理指南》。 本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。 本指南说明如何在四阶段流程（在下文中描述）中实施风险管理计划中的各个阶 段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。 本指南不考虑技术因素，并参考了许多关于安全风险管理的行业认可标准。 它是 Microsoft 承诺提供高质量指南以帮助客户保护其信息技术 (IT) 基础结 构之安全的一个重要示例。 本指南结合了来自 Microsoft IT 的实际经验，也 包括了由 Microsoft 客户及合作伙伴所提供的资料。 本指南由安全权威专家组开发、审核并批准。 本指南和其他安全指导主题 可在 /china/technet/security/guidance 上的 Security Guidance Center 中找到。 有关本指南的反馈或问题，请发邮件到 secwish@ 。 本指南包括六章和四个附录。 2. 安全风险管理指南介绍 2.1. 摘要 2.1.1. 环境挑战 大多数组织都认识到信息技术 (IT) 在支持其业务目标中扮演的关键角色。 但如今高度连接的 IT 基础结构存在于一个敌对性不断增加的环境中 - 攻击的 频率越来越高，而要求的反应时间越来越短。 通常，组织不能够在其业务受到 影响之前对新的安全威胁采取应对措施。 管理基础结构的安全性，以及这些基 础结构提供的业务价值，已经成为 IT 部门的首要关注事项。 此外，因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加 严密且有效地管理他们的 IT 基础结构。 很多政府机构和与这些机构没有联系 的组织被法律强制要求至少维持一种最低程度的安全监督。 未能前瞻性地管理 安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。 2.1.2. 一种较好的方法 Microsoft 的安全风险管理方法提供了一种前瞻性的方法，可帮助各种规模 的组织响应他们所在的环境以及法律挑战提出的要求。 正式的风险管理流程让 企业能够以最具有成本效益的方式运行，并且使已知的业务风险维持在可接受的 水平。 它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确 定优先级，更好地管理风险