安全风险管理指南
概述
客户在尝试实施安全风险管理计划时,可能会觉得不知所措。 原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。 为了帮助这些客户,Microsoft 编写了《安全风险管理指南》。 本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。 本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶段,以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。
本指南不考虑技术因素,并参考了许多关于安全风险管理的行业认可标准。 它是 Microsoft 承诺提供高质量指南以帮助客户保护其信息技术 (IT) 基础结构之安全的一个重要示例。 本指南结合了来自 Microsoft IT 的实际经验,也包括了由 Microsoft 客户及合作伙伴所提供的资料。 本指南由安全权威专家组开发、审核并批准。 本指南和其他安全指导主题可在 www.microsoft.com/china/technet/security/guidance 上的 Security Guidance Center 中找到。 有关本指南的反馈或问题,请发邮件到 secwish@microsoft.com。 本指南包括六章和四个附录。 本页内容
第 1 章:安全风险管理指南介绍第 1 章介绍《安全风险管理指南》(SRMG) 并简短地概述后续各章。 它还提供有关以下内容的信息:
第 2 章:安全风险管理实践调查第 2 章通过考查其他安全风险管理方法及相关考虑因素,包括如何确定组织风险管理完善程度,为 SRMG 奠定基础并提供背景。 第 3 章:安全风险管理概述第 3 章更详细地探讨了 SRMG 流程的四个阶段,并介绍了一些重要概念及成功之关键。 本章还提供对准备方案的建议,主要通过有效地计划,并将重点放在建立一支角色和职责明确的、稳定的风险管理小组上。 第 4 章:评估风险第 4 章详细介绍第一阶段:评估风险。 此阶段中的步骤包括规划、数据收集和确定风险优先级。 确定风险优先级本身由汇总级别和详细级别组成,在定性方法和定量方法之间找到平衡,以便在时间和工作强度的合理折衷范围内提供可靠的风险信息。 评估风险阶段得出的输出资料是一份带有详细分析的重要风险列表,小组可用这份列表在流程的下一阶段做出业务决策。 第 5 章:实施决策支持第 5 章介绍第二阶段:实施决策支持。 在此阶段,小组确定如何以最有效最经济的方式解决关键风险。 小组确定控制措施,评估成本,评估风险降低的程度,然后确定要实施的控制措施。 实施阶段的输出结果是一个清晰且可操作的计划,控制或接受在评估风险阶段确定的顶级风险。 第 6 章:实施控制和评定计划有效性第 6 章介绍 SRMG 的最后两个阶段:实施控制和评定计划有效性。 在实施控制阶段,缓解风险责任人根据在决策支持流程中产生的控制解决方案列表制定并执行计划。 在安全风险管理流程的前三个阶段完成后,组织应估计安全风险管理的整体进度。 最后一个阶段“评定计划有效性”介绍“安全风险记分卡”的概念以进一步巩固效果。 附录附录包括:
|
本文内容
|
