安全風(fēng)險管理概述

傳統(tǒng)上，安全風(fēng)險管理的方法有兩種：前瞻性方法和反應(yīng)性方法，各有優(yōu)點與缺點。確定某一風(fēng)險的優(yōu)先級也有兩種不同的方法：定性安全風(fēng)險管理和定量安全風(fēng)險管理。

風(fēng)險管理的方法

很多組織都通過響應(yīng)一個相對較小的安全事件而引入安全風(fēng)險管理。但無論最初的事件是什么，隨著越來越多與安全有關(guān)的問題出現(xiàn)并開始影響業(yè)務(wù)，很多組織對響應(yīng)一個接一個的危機感到灰心喪氣。他們需要替代方法，一種能減少首次安全事件的方法。有效管理風(fēng)險的組織發(fā)展了更為前瞻性的方法，但此方法也只是解決方案的一部分。

反應(yīng)性方法：當(dāng)一個安全事件發(fā)生時，很多IT專業(yè)人員感到惟一可行的就是遏制情形，指出發(fā)生了什么事情，并盡可能快地修復(fù)受影響的系統(tǒng)。反應(yīng)性方法可以是一種對已經(jīng)被利用并轉(zhuǎn)換為安全事件的安全風(fēng)險的有效技術(shù)響應(yīng)，使反應(yīng)性方法具有一定程度的嚴密性，可幫助所有類型的組織更好地利用他們的資源。
前瞻性方法：與反應(yīng)性方法相比，前瞻性安全風(fēng)險管理有很多優(yōu)點。與等待壞事情發(fā)生然后再做出響應(yīng)不同，前瞻性方法首先最大程度地降低壞事情發(fā)生的可能性。

當(dāng)然，組織不應(yīng)完全放棄事件響應(yīng)。一個有效的前瞻性方法可幫助組織顯著減少將來發(fā)生安全事件的數(shù)量，但是似乎此類問題并不會完全消失。因此，組織應(yīng)繼續(xù)改善他們的事件響應(yīng)流程，同時制定長期的前瞻性方法。

確定風(fēng)險優(yōu)先級的方法

我們將風(fēng)險管理定義為將整個企業(yè)內(nèi)的風(fēng)險降低到可接受水平的整體流程，將評估風(fēng)險定義為確定企業(yè)面臨的風(fēng)險并確定其優(yōu)先級的流程。確定風(fēng)險優(yōu)先級或評估風(fēng)險主要有兩種方法：定量風(fēng)險管理或定性風(fēng)險管理。

定量風(fēng)險評估：在定量風(fēng)險評估中，目標是試圖為在風(fēng)險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值。例如，用替換成本、生產(chǎn)率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各個企業(yè)資產(chǎn)的真實價值。計算資產(chǎn)暴露程度、控制成本以及在風(fēng)險管理流程中確定的所有其他值時，盡量具有相同的客觀性。

定性風(fēng)險評估：定性風(fēng)險評估與定量風(fēng)險評估的區(qū)別在于，在前一方法中不用向資產(chǎn)分配難以確定的財務(wù)價值、預(yù)期損失和控制成本，取而代之的是計算相對值。通常通過調(diào)查表和合作研討會的組合形式進行風(fēng)險分析，涉及來自組織內(nèi)各個部門的人員，例如信息安全專家、信息技術(shù)經(jīng)理和員工、企業(yè)資產(chǎn)所有者和用戶以及高級經(jīng)理。

Microsoft公司視消費者的安全問題為公司的頭等大事。Microsoft公司致力于整合軟件、服務(wù)和最佳實踐來保護消費者的系統(tǒng)。得益于穩(wěn)固的系統(tǒng)，消費者盡可放心享受科技與互聯(lián)網(wǎng)所帶來的最大效益。Microsoft公司在安全與網(wǎng)絡(luò)安全領(lǐng)域所作的貢獻主要集中于以下三個方面：1）技術(shù)投資：提高其產(chǎn)品的安全性，改進升級流程，并提供加強安全保障的新特性與產(chǎn)品；2）產(chǎn)業(yè)合作：與合作伙伴、消費者、政府和法律實施代理合作，為發(fā)展打擊計算機犯罪的相關(guān)政策和行動提供支持；3）說明性指導(dǎo)與教育：廣泛傳播即時信息來幫助消費者提高他們的系統(tǒng)安全性，并且做好防范新威脅的準備。Microsoft公司深知進行安全保障是一段長期的歷程，同時已經(jīng)邁出了幫助消費者和公司進行自我保護的第一步，嘗試了諸多全新安全創(chuàng)新，包括Windows XP Service Pack 2、Windows Server Service Pack 1、產(chǎn)品質(zhì)量改進與升級預(yù)告、普遍適用的安全規(guī)范、與消費者、合作伙伴和政府間的協(xié)作等等。

Microsoft 安全風(fēng)險管理流程

Microsoft公司為主動防御新興安全和網(wǎng)絡(luò)安全威脅所進行的創(chuàng)新不僅強化了現(xiàn)有產(chǎn)品，更添加了全新特性使消費者可以控制自己的防護和安全級別。這樣以來，他們盡可體驗技術(shù)優(yōu)勢，放心使用因特網(wǎng)資源，因為他們的系統(tǒng)已經(jīng)受到保護。

Microsoft 安全風(fēng)險管理流程是一種混合方法，綜合了兩種傳統(tǒng)方法的優(yōu)點。這種方法比傳統(tǒng)的定量方法更為快速。與傳統(tǒng)的定性方法相比，這種方法還提供了更加詳盡的結(jié)果，并且更易于向管理層證明。通過將定性方法的簡單性和簡明性與定量方法的一些嚴格性結(jié)合起來，微軟安全風(fēng)險管理提供了一種有效可行的獨特流程。流程的目標是使風(fēng)險承擔(dān)者能夠了解評估中的每一步驟。此方法比傳統(tǒng)的定量風(fēng)險管理大為簡單，最大程度地減少風(fēng)險分析和決策支持階段的結(jié)果面臨的阻力，更快達成一致意見并在整個流程中得到維護。

Microsoft 安全風(fēng)險管理流程由四個階段構(gòu)成。 第一個階段是評估風(fēng)險階段，綜合了定性和定量風(fēng)險評估方法。用定性方法來快速類選安全風(fēng)險的整個列表，然后用定量方法更加詳細地檢查在此類選過程中確定的最嚴重的風(fēng)險。結(jié)果是一份相對較短的經(jīng)過詳細檢查的最重要風(fēng)險列表。

此列表在下一階段“實施決策支持”中使用，在該階段中提議并評估潛在的控制解決方案，然后將最好的解決方案作為緩解頂級風(fēng)險的推薦交給組織的安全籌劃指導(dǎo)委員會。在第三階段“實施控制”中，緩解方案所有者實際實施控制解決方案。第四階段“評定計劃有效性”用于驗證控制措施實際提供預(yù)期的保護程度，并觀察環(huán)境變化，例如可能改變組織風(fēng)險配置的新業(yè)務(wù)應(yīng)用程序或攻擊工具。