第20讲风险消减-确定风险消减策略

《第20讲风险消减-确定风险消减策略》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第20讲风险消减-确定风险消减策略   风险消减（RiskMitigation）是风险管理过程的第二个阶段，牵涉到确定风险消减策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。要消减风险，就必须实施相应的安全措施，忽略或容忍所有的风险显然是不可接受的，但实施安全控制措施要有所付出，包括购买、安装、维护等方面所需的人力和物力，所以，组织的决策者就应该找到一个利益和代价的平衡点，根据组织的实际情况来选择最恰当的安全措施，将组织面临的风险减少到可接受的水平，使组织资源和商务可能受到的负面影响降低到最低程

2、度。接下来我们就来看风险消减阶段几个关键的行动步骤。在组织选择并实施风险评估结果中推荐的安全措施之前，首先要明确自己的风险消减策略，也就是应对各种风险的途径和决策方式。就应对风险的途径来说，有以下几种选择：·降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：·减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。·减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。·降低影响：例如，制定灾难恢复

3、计划和业务连续性计划，做好备份。·规避风险（AvoidRisk）——有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。·转嫁风险（TransferRisk）——将风险全部或者部分地转移到其他责任方，例如购买商业保险。·接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。针对特定风险，组织可以选择以上措施来应对，但有一点需要明确，面对众多已识别的风险，组织很难对所有的风险都一

4、视同仁。风险大小、严重程度、紧迫性、所需资源总归有所区别，企业应该对待处理的风险有个优先级的考虑，如果是严重影响了组织商务生存的，应该放到最前面，在资源提供和相关支持上也要优先给予。当然，各个组织的环境和现实状况不同，安全目标也有差异，这就决定了在选择风险消减策略上的多样性。应对风险，最好的办法就是将合适的技术、恰当的风险消减策略，以及非技术性措施有机结合起来，这样才能达到较好的效果。除了明确应对风险的途径，组织还应该清楚具体的决策方式，也就是说，什么时候并且在什么情况下应该采取这些应对措施？对组织的管理层来说，这也是

5、风险管理决策过程的必然内容。图4.1所示就是风险消减决策的基本思路。需要注意，对于攻击者代价大于可能收获的情况，比如加密算法尽管可破，但需要耗费破解者大量计算资源和相当长的时间（比如几十年甚至更长），这种情况下，决策者可以考虑接受风险，毕竟攻击难度的增大可以大大消减攻击者的动机。