欢迎来到天天文库
浏览记录
ID:18090530
大小:1.59 MB
页数:108页
时间:2018-09-13
《安全风险管理指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、安全风险管理指南第一章概述发布日期:2004年12月01日客户在尝试实施安全风险管理计划时,可能会觉得不知所措。原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户,Microsoft编写了《安全风险管理指南》。 本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶段,以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。本指南不考虑技术因素,并参考了许多关于安全风险管理的行业认可标准。它是Microsof
2、t承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结构之安全的一个重要示例。本指南结合了来自MicrosoftIT的实际经验,也包括了由Microsoft客户及合作伙伴所提供的资料。本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在www.microsoft.com/china/technet/security/guidance上的SecurityGuidanceCenter中找到。有关本指南的反馈或问题,请发邮件到secwish@microsoft.com。 本指南包括六章和四个附录。本页内容第1章:安全风险管
3、理指南介绍第2章:安全风险管理实践调查第3章:安全风险管理概述第4章:评估风险第5章:实施决策支持第6章:实施控制和评定计划有效性附录第1章:安全风险管理指南介绍第1章介绍《安全风险管理指南》(SRMG)并简短地概述后续各章。它还提供有关以下内容的信息:•安全风险管理计划的成功关键•主要术语和定义•本文的样式约定•详细信息之参考第2章:安全风险管理实践调查第2章通过考查其他安全风险管理方法及相关考虑因素,包括如何确定组织风险管理完善程度,为SRMG奠定基础并提供背景。第3章:安全风险管理概述第3章更详细地探讨了SRMG流程的四个阶段,并介
4、绍了一些重要概念及成功之关键。本章还提供对准备方案的建议,主要通过有效地计划,并将重点放在建立一支角色和职责明确的、稳定的风险管理小组上。第4章:评估风险第4章详细介绍第一阶段:评估风险。此阶段中的步骤包括规划、数据收集和确定风险优先级。确定风险优先级本身由汇总级别和详细级别组成,在定性方法和定量方法之间找到平衡,以便在时间和工作强度的合理折衷范围内提供可靠的风险信息。评估风险阶段得出的输出资料是一份带有详细分析的重要风险列表,小组可用这份列表在流程的下一阶段做出业务决策。第5章:实施决策支持第5章介绍第二阶段:实施决策支持。在此阶段,小
5、组确定如何以最有效最经济的方式解决关键风险。小组确定控制措施,评估成本,评估风险降低的程度,然后确定要实施的控制措施。实施阶段的输出结果是一个清晰且可操作的计划,控制或接受在评估风险阶段确定的顶级风险。第6章:实施控制和评定计划有效性第6章介绍SRMG的最后两个阶段:实施控制和评定计划有效性。在实施控制阶段,缓解风险责任人根据在决策支持流程中产生的控制解决方案列表制定并执行计划。在安全风险管理流程的前三个阶段完成后,组织应估计安全风险管理的整体进度。最后一个阶段“评定计划有效性”介绍“安全风险记分卡”的概念以进一步巩固效果。附录附录包括:
6、•附录A:特别风险评估•附录B:常见信息系统资产•附录C:常见威胁•附录D:漏洞第2章:安全风险管理实践调查本章一开始回顾安全风险管理的前瞻性方法和反应性方法的优点与缺点,接着评估和比较两个传统方法:定性安全风险管理和定量安全风险管理。Microsoft安全风险管理流程是一种在这些方法之间提供平衡的备选方法,经证明,Microsoft采用该流程获得了一个极为有效的流程。注:通过审核组织过去进行安全风险管理的方法为Microsoft安全风险管理流程奠定一个基础非常重要。已经精通安全风险管理的读者可能希望快速浏览本章;鼓励对安全或风险管理相对
7、不熟悉的其他人精读本章。本页内容比较风险管理的方法确定风险优先级的方法Microsoft安全风险管理流程比较风险管理的方法很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。例如,一名员工的计算机感染了病毒,担任办公室经理的内部电脑专家必须指出如何根除病毒而不破坏计算机或计算机存储的数据。无论最初的事件是什么,随着越来越多与安全有关的问题出现并开始影响业务,很多组织对响应一个接一个的危机感到灰心丧气。他们需要一个这种反应性方法的替代方法,一种寻求减少第一次发生安全事件可能性的方法。有效管理风险的组织发展了更有前瞻性的方法,但是随着
8、您对本章的学习,此方法只是解决方案的一部分。反应性方法现在,很多信息技术(IT)专业人员对在尽量方便用户的情况下迅速完成他们的任务倍感压力。当一个安全事件发生时,很多IT专业人员感到唯一有时间
此文档下载收益归作者所有