安全風險管理概述

傳統(tǒng)上，安全風險管理的方法有兩種：前瞻性方法和反應性方法，各有優(yōu)點與缺點。確定某一風險的優(yōu)先級也有兩種不同的方法：定性安全風險管理和定量安全風險管理。

風險管理的方法

很多組織都通過響應一個相對較小的安全事件而引入安全風險管理。但無論最初的事件是什么，隨著越來越多與安全有關的問題出現(xiàn)并開始影響業(yè)務，很多組織對響應一個接一個的危機感到灰心喪氣。他們需要替代方法，一種能減少首次安全事件的方法。有效管理風險的組織發(fā)展了更為前瞻性的方法，但此方法也只是解決方案的一部分。

反應性方法：當一個安全事件發(fā)生時，很多IT專業(yè)人員感到惟一可行的就是遏制情形，指出發(fā)生了什么事情，并盡可能快地修復受影響的系統(tǒng)。反應性方法可以是一種對已經(jīng)被利用并轉(zhuǎn)換為安全事件的安全風險的有效技術響應，使反應性方法具有一定程度的嚴密性，可幫助所有類型的組織更好地利用他們的資源。
前瞻性方法：與反應性方法相比，前瞻性安全風險管理有很多優(yōu)點。與等待壞事情發(fā)生然后再做出響應不同，前瞻性方法首先最大程度地降低壞事情發(fā)生的可能性。

當然，組織不應完全放棄事件響應。一個有效的前瞻性方法可幫助組織顯著減少將來發(fā)生安全事件的數(shù)量，但是似乎此類問題并不會完全消失。因此，組織應繼續(xù)改善他們的事件響應流程，同時制定長期的前瞻性方法。

確定風險優(yōu)先級的方法

我們將風險管理定義為將整個企業(yè)內(nèi)的風險降低到可接受水平的整體流程，將評估風險定義為確定企業(yè)面臨的風險并確定其優(yōu)先級的流程。確定風險優(yōu)先級或評估風險主要有兩種方法：定量風險管理或定性風險管理。

定量風險評估：在定量風險評估中，目標是試圖為在風險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值。例如，用替換成本、生產(chǎn)率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各個企業(yè)資產(chǎn)的真實價值。計算資產(chǎn)暴露程度、控制成本以及在風險管理流程中確定的所有其他值時，盡量具有相同的客觀性。

定性風險評估：定性風險評估與定量風險評估的區(qū)別在于，在前一方法中不用向資產(chǎn)分配難以確定的財務價值、預期損失和控制成本，取而代之的是計算相對值。通常通過調(diào)查表和合作研討會的組合形式進行風險分析，涉及來自組織內(nèi)各個部門的人員，例如信息安全專家、信息技術經(jīng)理和員工、企業(yè)資產(chǎn)所有者和用戶以及高級經(jīng)理。

Microsoft公司視消費者的安全問題為公司的頭等大事。Microsoft公司致力于整合軟件、服務和最佳實踐來保護消費者的系統(tǒng)。得益于穩(wěn)固的系統(tǒng)，消費者盡可放心享受科技與互聯(lián)網(wǎng)所帶來的最大效益。Microsoft公司在安全與網(wǎng)絡安全領域所作的貢獻主要集中于以下三個方面：1）技術投資：提高其產(chǎn)品的安全性，改進升級流程，并提供加強安全保障的新特性與產(chǎn)品；2）產(chǎn)業(yè)合作：與合作伙伴、消費者、政府和法律實施代理合作，為發(fā)展打擊計算機犯罪的相關政策和行動提供支持；3）說明性指導與教育：廣泛傳播即時信息來幫助消費者提高他們的系統(tǒng)安全性，并且做好防范新威脅的準備。Microsoft公司深知進行安全保障是一段長期的歷程，同時已經(jīng)邁出了幫助消費者和公司進行自我保護的第一步，嘗試了諸多全新安全創(chuàng)新，包括Windows XP Service Pack 2、Windows Server Service Pack 1、產(chǎn)品質(zhì)量改進與升級預告、普遍適用的安全規(guī)范、與消費者、合作伙伴和政府間的協(xié)作等等。

Microsoft 安全風險管理流程

Microsoft公司為主動防御新興安全和網(wǎng)絡安全威脅所進行的創(chuàng)新不僅強化了現(xiàn)有產(chǎn)品，更添加了全新特性使消費者可以控制自己的防護和安全級別。這樣以來，他們盡可體驗技術優(yōu)勢，放心使用因特網(wǎng)資源，因為他們的系統(tǒng)已經(jīng)受到保護。

Microsoft 安全風險管理流程是一種混合方法，綜合了兩種傳統(tǒng)方法的優(yōu)點。這種方法比傳統(tǒng)的定量方法更為快速。與傳統(tǒng)的定性方法相比，這種方法還提供了更加詳盡的結(jié)果，并且更易于向管理層證明。通過將定性方法的簡單性和簡明性與定量方法的一些嚴格性結(jié)合起來，微軟安全風險管理提供了一種有效可行的獨特流程。流程的目標是使風險承擔者能夠了解評估中的每一步驟。此方法比傳統(tǒng)的定量風險管理大為簡單，最大程度地減少風險分析和決策支持階段的結(jié)果面臨的阻力，更快達成一致意見并在整個流程中得到維護。

Microsoft 安全風險管理流程由四個階段構(gòu)成。 第一個階段是評估風險階段，綜合了定性和定量風險評估方法。用定性方法來快速類選安全風險的整個列表，然后用定量方法更加詳細地檢查在此類選過程中確定的最嚴重的風險。結(jié)果是一份相對較短的經(jīng)過詳細檢查的最重要風險列表。

此列表在下一階段“實施決策支持”中使用，在該階段中提議并評估潛在的控制解決方案，然后將最好的解決方案作為緩解頂級風險的推薦交給組織的安全籌劃指導委員會。在第三階段“實施控制”中，緩解方案所有者實際實施控制解決方案。第四階段“評定計劃有效性”用于驗證控制措施實際提供預期的保護程度，并觀察環(huán)境變化，例如可能改變組織風險配置的新業(yè)務應用程序或攻擊工具。