第 1 章：安全风险管理指南介绍

 

摘要

环境挑战

大多数组织都认识到信息技术 (IT) 在支持其业务目标中扮演的关键角色。 但如今高度连接的 IT 基础结构存在于一个敌对性不断增加的环境中 - 攻击的频率越来越高，而要求的反应时间越来越短。 通常，组织不能够在其业务受到影响之前对新的安全威胁采取应对措施。 管理基础结构的安全性，以及这些基础结构提供的业务价值，已经成为 IT 部门的首要关注事项。

此外，因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效地管理他们的 IT 基础结构。 很多政府机构和与这些机构没有联系的组织被法律强制要求至少维持一种最低程度的安全监督。 未能前瞻性地管理安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。

一种较好的方法

Microsoft 的安全风险管理方法提供了一种前瞻性的方法，可帮助各种规模的组织响应他们所在的环境以及法律挑战提出的要求。 正式的风险管理流程让企业能够以最具有成本效益的方式运行，并且使已知的业务风险维持在可接受的水平。 它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。 在您采用适当的、具有成本效益的控制措施将风险降低到可接受水平时，您将认识到使用安全风险管理的好处。

可接受风险的定义以及管理风险的方法，因各个组织而异。 没有正确或错误的答案，目前有许多风险管理模型在使用之中。 每个模型均具有平衡准确性、资源、时间、复杂性和主观性的平衡点。 投资于具有固定框架和明确角色和职责的风险管理流程，使组织可以确定优先级，规划以缓解威胁，以及解决业务面临的下一个威胁或漏洞。 此外，有效的风险管理计划将帮助公司在满足新的法律要求方面举得明显的进步。

Microsoft 在安全风险管理中的角色

这是 Microsoft 出版的第一部完全集中论述安全风险管理的说明性指南。 以 Microsoft 自己及其客户的经验为基础，本指南在制定过程中经过客户、合作伙伴、技术审核者的测试与审核。 其目的是对如何实施安全风险管理流程提供一个明确的可操作指南。这样做有很多好处，其中包括：

• 使客户采取前瞻性安全方法，从被动的令人灰心丧气的流程中解放出来。

• 通过显示安全项目的价值来衡量安全。

• 帮助客户有效地缓解环境中的最主要的风险而不是将保贵的资源用于解决所有可能的风险。

指南概述

本指南采用行业标准，在一个循环的四阶段流程中提供已建立的风险管理模型的混合体，从而在成本和效益之间寻求平衡。 在风险评估流程中，定性步骤迅速地确定最重要的风险。 一个以详细定义的角色和职责为基础的量化流程。 本方法非常详细，并得出对最重要风险的充分了解。 风险评估流程中的定性和定量步骤共同提供一个基础，让您可以按照智能业务流程做出关于风险和缓解措施的可靠决策。

注：如果本摘要中讨论的某些概念对您而言是新概念，请不要担心；后续章节中将有详细说明。 例如，第 2 章“安全风险管理实践调查”说明风险评估的定性方法与定量方法之间的区别。

Microsoft 安全风险管理流程使组织可以实施和维护确定 IT 环境中的风险并确定优先级的流程。 使客户从被动关注转向前瞻性关注，从根本上改善客户环境的安全。 反过来，改善的安全有助于提高 IT 基础结构的可用性，有助于增加业务价值。

Microsoft 安全风险管理流程将各种方法综合起来，包括纯粹的定量分析、安全投资收益 (ROSI) 分析、定性分析和最佳做法。 请注意，本指南讲述流程，没有具体的技术要求。

成功的关键因素

在整个组织内成功实施安全风险管理计划有很多重要的成功因素。 这些因素中有一部分尤其至关重要，并将在此处介绍；另外一些在本章“成功的关键”一节中讨论。

首先，如果没有管理层的支持与承诺，安全风险管理必将失败。 当从最高层开始实行安全风险管理时，组织可以根据对企业的价值来确定安全。 其次，角色和职责的明确定义是成功的基石。 企业所有者负责确定风险的影响。 他们也处在确定发挥其功能所必须的资产的业务价值的最佳位置。 信息安全组负责通过考虑当前实施的提议的控制措施确定风险发生的可能性。 当利用可能性表示风险不可接受时，信息技术组负责实施安全筹划指导委员会选择的控制措施。

后续步骤

投资于具有可实现的固定流程以及明确角色和职责的风险管理计划，使组织可以确定优先级，规划以缓解威胁，以及解决至关重要的业务威胁或漏洞。 使用本指南来评估您是否准备好并提升您的安全风险管理能力。 如果您需要更多帮助，请联系 Microsoft 客户服务部或 Microsoft 服务合作伙伴。

本指南的目标读者

本指南主要面向负责进行跨平台规划应用或基础结构开发与部署的顾问、安全专家、系统设计师和 IT 专业人士。 这些角色包括负责以下工作的人：

• 负责推动组织的体系结构工作的设计和规划人员

• 专门在组织内提供跨平台安全性的信息安全组成员

• 负责确保组织采取了适当的预防措施来保护其重要企业资产的安全和 IT 审核者

• 具有关键业务目标和需求，需要 IT 的高级管理人员、业务分析人员和业务决策者 (BDM)

• 需要企业客户和合作伙伴的知识传送工具的顾问和合作伙伴