Microsoft 安全风险管理流程

Microsoft公司为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品，更添加了全新特性使消费者可以控制自己的防护和安全级别。这样以来，他们尽可体验技术优势，放心使用因特网资源，因为他们的系统已经受到保护。

Microsoft 安全风险管理流程是一种混合方法，综合了两种传统方法的优点。这种方法比传统的定量方法更为快速。与传统的定性方法相比，这种方法还提供了更加详尽的结果，并且更易于向管理层证明。通过将定性方法的简单性和简明性与定量方法的一些严格性结合起来，微软安全风险管理提供了一种有效可行的独特流程。流程的目标是使风险承担者能够了解评估中的每一步骤。此方法比传统的定量风险管理大为简单，最大程度地减少风险分析和决策支持阶段的结果面临的阻力，更快达成一致意见并在整个流程中得到维护。

Microsoft 安全风险管理流程由四个阶段构成（见左图）。 第一个阶段是评估风险阶段，综合了定性和定量风险评估方法。用定性方法来快速类选安全风险的整个列表，然后用定量方法更加详细地检查在此类选过程中确定的最严重的风险。结果是一份相对较短的经过详细检查的最重要风险列表。

此列表在下一阶段“实施决策支持”中使用，在该阶段中提议并评估潜在的控制解决方案，然后将最好的解决方案作为缓解优异风险的推荐交给组织的安全筹划指导委员会。在第三阶段“实施控制”中，缓解方案所有者实际实施控制解决方案。第四阶段“评定计划有效性”用于验证控制措施实际提供预期的保护程度，并观察环境变化，例如可能改变组织风险配置的新业务应用程序或攻击工具。

因为 Microsoft 安全风险管理流程是持续进行的，周期以各个新的风险评估重新开始。 周期重新开始的频率因组织不同而异；很多组织发现每年一次就已足够，因为组织正前瞻性地监控新的漏洞、威胁和资产。

文章转载地址：http://www.hacker.cn/News/Support/2006-6/2/06621518304477_2.shtml