网络通信 频道

运筹帷幄:安全风险管理方法概述

传统上,安全风险管理的方法有两种:前瞻性方法和反应性方法,各有优点与缺点。确定某一风险的优先级也有两种不同的方法:定性安全风险管理和定量安全风险管理。

风险管理的方法

很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。 但无论最初的事件是什么,随着越来越多与安全有关的问题出现并开始影响业务,很多组织对响应一个接一个的危机感到灰心丧气。他们需要替代方法,一种能减少首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法,但此方法也只是解决方案的一部分。

反应性方法

当一个安全事件发生时,很多IT专业人员感到唯一可行的就是遏制情形,指出发生了什么事情,并尽可能快地修复受影响的系统。反应性方法可以是一种对已经被利用并转换为安全事件的安全风险的有效技术响应,使反应性方法具有一定程度的严密性可帮助所有类型的组织更好地利用他们的资源。

前瞻性方法

与反应性方法相比,前瞻性安全风险管理有很多优点。 与等待坏事情发生然后再做出响应不同,前瞻性方法首先最大程度地降低坏事情发生的可能性。

当然,组织不应完全放弃事件响应。 一个有效的前瞻性方法可帮助组织显著减少将来发生安全事件的数量,但是似乎此类问题并不会完全消失。因此,组织应继续改善他们的事件响应流程,同时制定长期的前瞻性方法。

确定风险优先级的方法

我们将风险管理定义为将整个企业内的风险降低到可接受水平的整体流程,将评估风险定义为确定企业面临的风险并确定其优先级的流程。确定风险优先级或评估风险主要有两种方法:定量风险管理或定性风险管理。

定量风险评估

在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。例如,用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性。

定性风险评估

定性风险评估与定量风险评估的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本,取而代之的是计算相对值。通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如信息安全专家、信息技术经理和员工、企业资产所有者和用户以及高级经理。  

Microsoft公司视消费者的安全问题为公司的头等大事。Microsoft公司致力于整合软件、服务和非常好的实践来保护消费者的系统。得益于稳固的系统,消费者尽可放心享受科技与因特网所带来的最大效益。Microsoft公司在安全与网络安全领域所作的贡献主要集中于以下三个方面:1)技术投资:提高其产品的安全性,改进升级流程,并提供加强安全保障的新特性与产品;2)产业合作:与合作伙伴,消费者,政府和法律实施代理合作,为发展打击计算机犯罪的相关政策和行动提供支持;3)说明性指导与教育:广泛传播即时信息来帮助消费者提高他们的系统安全性,并且作好防范新威胁的准备。Microsoft公司深知进行安全保障是一段长期的历程,同时已经迈出了帮助消费者和公司进行自我保护的第一步,尝试了诸多全新安全创新,包括Windows XP Service Pack 2, Windows Server Service Pack 1,产品质量改进与升级预告,普遍适用的安全规范,与消费者、合作伙伴和政府间的协作,等。

0
相关文章