【正文】 微軟安全風險管理指南深圳大成天下信息技術有限公司ShenZhen Unnoo Information Tech., Inc.二〇〇五年一月126 / 126文檔信息文檔名稱微軟安全風險管理指南保密級別文檔版本編號制作人制作日期復審人復審日期適用范圍本文件是從微軟網頁上摘錄成doc，方便讀者閱讀。分發(fā)控制編號讀者文檔權限與文檔的主要關系1大成科技項目組創(chuàng)建、修改、讀取項目組成員，負責編制、修改、審核本文件2王娟批準項目的負責人，負責本文檔的批準程序3吳魯加標準化審核項目標準化負責人，對文檔進行標準化審核版本控制時間版本說明修改人文檔創(chuàng)建原文檔參見：1. 概述客戶在嘗試實施安全風險管理計劃時，可能會覺得不知所措。 原因可能在于他們沒有自己的內部專家、沒有預算資源或沒有使用外部資源的指南。 為了幫助這些客戶，Microsoft 編寫了《安全風險管理指南》。本指南幫助各種類型的客戶計劃、建立和維護一個成功的安全風險管理計劃。 本指南說明如何在四階段流程（在下文中描述）中實施風險管理計劃中的各個階段，以及如何建立一個持續(xù)的過程以評定安全風險并將其降低到可接受水平。本指南不考慮技術因素，并參考了許多關于安全風險管理的行業(yè)認可標準。 它是 Microsoft 承諾提供高質量指南以幫助客戶保護其信息技術 (IT) 基礎結構之安全的一個重要示例。 本指南結合了來自 Microsoft IT 的實際經驗，也包括了由 Microsoft 客戶及合作伙伴所提供的資料。本指南由安全權威專家組開發(fā)、審核并批準。 本指南和其他安全指導主題可在 。 有關本指南的反饋或問題，請發(fā)郵件到 secwish@。本指南包括六章和四個附錄。2. 安全風險管理指南介紹. 摘要. 環(huán)境挑戰(zhàn)大多數(shù)組織都認識到信息技術 (IT) 在支持其業(yè)務目標中扮演的關鍵角色。 但如今高度連接的 IT 基礎結構存在于一個敵對性不斷增加的環(huán)境中 攻擊的頻率越來越高，而要求的反應時間越來越短。 通常，組織不能夠在其業(yè)務受到影響之前對新的安全威脅采取應對措施。 管理基礎結構的安全性，以及這些基礎結構提供的業(yè)務價值，已經成為 IT 部門的首要關注事項。 此外，因隱私、財政責任和公司管理而制定的法律強制要求組織比過去更加嚴密且有效地管理他們的 IT 基礎結構。 很多政府機構和與這些機構沒有聯(lián)系的組織被法律強制要求至少維持一種最低程度的安全監(jiān)督。 未能前瞻性地管理安全可能因為違背信托和法律責任而將管理層和整個組織置于風險之中。. 一種較好的方法Microsoft 的安全風險管理方法提供了一種前瞻性的方法，可幫助各種規(guī)模的組織響應他們所在的環(huán)境以及法律挑戰(zhàn)提出的要求。 正式的風險管理流程讓企業(yè)能夠以最具有成本效益的方式運行，并且使已知的業(yè)務風險維持在可接受的水平。 它還使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險。 在您采用適當?shù)?、具有成本效益的控制措施將風險降低到可接受水平時，您將認識到使用安全風險管理的好處。 可接受風險的定義以及管理風險的方法，因各個組織而異。 沒有正確或錯誤的答案，目前有許多風險管理模型在使用之中。 每個模型均具有平衡準確性、資源、時間、復雜性和主觀性的平衡點。 投資于具有固定框架和明確角色和職責的風險管理流程，使組織可以確定優(yōu)先級，規(guī)劃以緩解威脅，以及解決業(yè)務面臨的下一個威脅或漏洞。 此外，有效的風險管理計劃將幫助公司在滿足新的法律要求方面舉得明顯的進步。. Microsoft 在安全風險管理中的角色這是 Microsoft 出版的第一部完全集中論述安全風險管理的說明性指南。 以 Microsoft 自己及其客戶的經驗為基礎，本指南在制定過程中經過客戶、合作伙伴、技術審核者的測試與審核。 其目的是對如何實施安全風險管理流程提供一個明確的可操作指南。這樣做有很多好處，其中包括：?使客戶采取前瞻性安全方法，從被動的令人灰心喪氣的流程中解放出來。?通過顯示安全項目的價值來衡量安全。?幫助客戶有效地緩解環(huán)境中的最主要的風險而不是將保貴的資源用于解決所有可能的風險。. 指南概述本指南采用行業(yè)標準，在一個循環(huán)的四階段流程中提供已建立的風險管理模型的混合體，從而在成本和效益之間尋求平衡。 在風險評估流程中，定性步驟迅速地確定最重要的風險。 一個以詳細定義的角色和職責為基礎的量化流程。 本方法非常詳細，并得出對最重要風險的充分了解。 風險評估流程中的定性和定量步驟共同提供一個基礎，讓您可以按照智能業(yè)務流程做出關于風險和緩解措施的可靠決策。注：如果本摘要中討論的某些概念對您而言是新概念，請不要擔心；后續(xù)章節(jié)中將有詳細說明。 例如，第 2 章“安全風險管理實踐調查”說明風險評估的定性方法與定量方法之間的區(qū)別。Microsoft 安全風險管理流程使組織可以實施和維護確定 IT 環(huán)境中的風險并確定優(yōu)先級的流程。 使客戶從被動關注轉向前瞻性關注，從根本上改善客戶環(huán)境的安全。 反過來，改善的安全有助于提高 IT 基礎結構的可用性，有助于增加業(yè)務價值。 Microsoft 安全風險管理流程將各種方法綜合起來，包括純粹的定量分析、安全投資收益 (ROSI) 分析、定性分析和最佳做法。 請注意，本指南講述流程，沒有具體的技術要求。 . 成功的關鍵因素在整個組織內成功實施安全風險管理計劃有很多重要的成功因素。 這些因素中有一部分尤其至關重要，并將在此處介紹；另外一些在本章“成功的關鍵”一節(jié)中討論。首先，如果沒有管理層的支持與承諾，安全風險管理必將失敗。 當從最高層開始實行安全風險管理時，組織可以根據(jù)對企業(yè)的價值來確定安全。 其次，角色和職責的明確定義是成功的基石。 企業(yè)所有者負責確定風險的影響。 他們也處在確定發(fā)揮其功能所必須的資產的業(yè)務價值的最佳位置。 信息安全組負責通過考慮當前實施的提議的控制措施確定風險發(fā)生的可能性。 當利用可能性表示風險不可接受時，信息技術組負責實施安全籌劃指導委員會選擇的控制措施。. 后續(xù)步驟投資于具有可實現(xiàn)的固定流程以及明確角色和職責的風險管理計劃，使組織可以確定優(yōu)先級，規(guī)劃以緩解威脅，以及解決至關重要的業(yè)務威脅或漏洞。 使用本指南來評估您是否準備好并提升您的安全風險管理能力。 如果您需要更多幫助，請聯(lián)系 Microsoft 客戶服務部或 Microsoft 服務合作伙伴。. 本指南的目標讀者本指南主要面向負責進行跨平臺規(guī)劃應用或基礎結構開發(fā)與部署的顧問、安全專家、系統(tǒng)設計師和 IT 專業(yè)人士。 這些角色包括負責以下工作的人：?負責推動組織的體系結構工作的設計和規(guī)劃人員?專門在組織內提供跨平臺安全性的信息安全組成員?負責確保組織采取了適當?shù)念A防措施來保護其重要企業(yè)資產的安全和 IT 審核者?具有關鍵業(yè)務目標和需求，需要 IT 的高級管理人員、業(yè)務分析人員和業(yè)務決策者 (BDM)?需要企業(yè)客戶和合作伙伴的知識傳送工具的顧問和合作伙伴. 指南的適用范圍本指南專注于如何在各種規(guī)模和類型的組織中規(guī)劃、建立和維護一個成功的安全風險管理流程。 資料解釋如何進行風險管理計劃的各個階段，以及如何將項目轉換為一個持續(xù)流程，推動組織實施符合成本效益的最有效控制措施來緩解安全風險。. 內容概述《安全風險管理指南》包含六章，以下進行簡要介紹。 每章介紹在組織中有效啟動和運行一個持續(xù)安全風險管理流程所需的循環(huán)實踐方法。 在這些章節(jié)之后是有助于組織安全風險管理計劃的附錄與工具。. 第 1 章：安全風險管理指南介紹此章介紹本指南并簡短地概述后續(xù)各章。. 第 2 章：安全風險管理實踐調查通過審核組織過去進行安全風險管理的方法為 Microsoft 安全風險管理流程奠定一個基礎非常重要。 已經精通安全風險管理的讀者可能希望快速瀏覽本章；鼓勵對安全或風險管理相對不熟悉的其他人精讀本章。 此章一開始回顧風險管理的前瞻性方法和反應性方法的優(yōu)點與缺點， 然后詳細回顧第 1 章“安全風險管理指南介紹”，介紹有組織的風險管理的完善程度。 最后，此章評估和比較兩個傳統(tǒng)方法：定性風險管理和定量風險管理。 此流程是一種在這些方法之間提供平衡的備選方法，經證明，Microsoft 采用該流程獲得了一個極為有效的流程。. 第 3 章：安全風險管理概述此章更詳細地介紹了 Microsoft 安全風險管理流程，并介紹了一些重要概念及成功關鍵。 此章還提供了有關如何通過使用有效的規(guī)劃并建立具有清晰定義的角色和職責的強大安全風險管理小組準備流程的建議。. 第 4 章：評估風險此章詳細介紹 Microsoft 安全風險管理流程的評估風險階段。 此階段中的步驟包括規(guī)劃、加速數(shù)據(jù)收集和確定風險優(yōu)先級。 風險評估流程包含多個任務，其中某些任務對大組織而言很苛求。 例如，識別和確定企業(yè)資產的價值需要很多時間。 確定威脅和漏洞等其他任務需要大量的技術專家。 與這些任務相關的挑戰(zhàn)說明了正確規(guī)劃和建立堅實的安全風險管理小組的重要性，如第 3 章“安全風險管理概述”所強調的。 在確定匯總風險優(yōu)先級期間，安全風險管理小組使用一種定性方法來類選安全風險的完整列表，從而使小組可以快速確定最重要的風險以進行進一步的分析。 然后用定量技術來詳細分析頂級風險。 結果是一份最重要風險的簡短列表，具有詳細的資料，小組可在流程的下一階段中用這些資料來做出明智的決策。. 第 5 章：實施決策支持在流程的實施決策支持階段期間，安全風險管理小組確定如何以最有效最經濟的方式解決關鍵風險。 小組確定控制措施，確定與購買、實施和支持各個控制措施有關的成本，評估各個控制措施實現(xiàn)的風險降低程度，配合安全籌劃指導委員會確定要實施的控制措施。 最終結果是一個清晰且可操作的計劃，控制或接受在評估風險階段確定的頂級風險。. 第 6 章：實施控制和評定計劃有效性此章解釋 Microsoft 安全風險管理流程的最后兩個階段：實施控制和評定計劃有效性。 顧名思義，在“實施控制”階段中：緩解方案所有者根據(jù)在決策支持流程中產生的控制解決方案列表制定并執(zhí)行計劃，以降低在評估風險階段中確定的風險。 此章提供了說明性指導的鏈接，在組織的緩解方案所有者解決各種風險時可能有所幫助。 評定計劃有效性階段是一個持續(xù)進行的流程，在這個階段中，安全風險管理小組定期驗證在之前階段中實施的控制確實提供了預期程度的保護。此階段的另一個步驟是預測組織在安全風險管理方面的整體進度。 本章介紹了“安全風險記分卡”的概念，可用它來追蹤組織的實施狀況。 最后，本章還解釋了觀察計算環(huán)境變化的重要性，如系統(tǒng)和應用程序的添加和刪除，或者新威脅和漏洞的出現(xiàn)。 三種類型的變化可能要求組織立即采取行動以針對新的或改變的風險對自身提供保護。. 附錄 A：特別風險評估此附錄將正式的企業(yè)風險評估流程與很多組織采用的特別方法進行比較。 它突出各個方法的優(yōu)點和缺點，并建議在什么情況下使用什么方法。. 附錄 B：常見信息系統(tǒng)資產此附錄列出各種類型的組織中常見的信息系統(tǒng)資產。 它并不追求全面性，也不會列出在一個組織的獨特環(huán)境中所具備的全部資產。 因此，在風險評估流程中定制此列表非常重要。 它作為參考列表和開始點提供，以幫助貴組織著手進行。. 附錄 C：常見威脅本附錄列出了可能影響許多組織的威脅。 此列表并不全面，而且因為它是靜態(tài)的，所以并不是最新的。 因此，在項目的評估階段需要刪除與貴組織不相關的威脅并添加新確定的威脅，這點很重要。 它作為參考列表和開始點提供，以幫助貴組織著手進行。. 附錄 D：漏洞本附錄列出了可能影響許多組織的漏洞。 此列表并不全面，而且因為它是靜態(tài)的，所以并不是最新的。 因此，在風險評估階段需要刪除與貴組織不相關的漏洞并添加新確定的漏洞，這點很重要。 它作為參考列表和開始點提供，以幫助貴組織著手進行。. 工具和模板本指南隨附了一組工具和模板，幫助組織實施 Microsoft 安全風險管理流程。 這些工具和模板包含在一個可在下載中心獲得的自解壓 WinZip 壓縮文件中。 注意，該壓縮文件也包含本指南的副本。 當從下載的壓縮文件抽取文件時，將在您指定的位置創(chuàng)建以下文件夾結構：?\安全風險管理指南 包含本指南的 Portable Document Format (PDF) 文件版本。?\安全風險管理指南\工具和模板 包含以下文件：?數(shù)據(jù)收集模板 (SRMGTool1Data Gathering )。 可在第 4 章“評估風險”所述的研討會期間在評估風險階段使用此模板。?匯總級風險分析工作表 (SRMGTool2Summary Risk )。 此 Microsoft174。 Excel 工作表幫助組織進行風險分析的第一階段：匯總級分析。?詳細級風險分析工作表 (SRMGTool3Detailed Level Risk )。 此 Excel 工作表幫助組織對在匯總級分析中確定的頂級風險進行更加詳細的分析。?日程安排示例 (SRMGTool4Sample Project )。 此 Excel 工作表顯示一個針對 Microsoft 安全風險管理流程的高級項目日程安排。 它包含本指南討論的階段、步驟和任務。. 成功的關鍵無論何時一個組織實施重大的新變革時，只有具備各種基礎性的要素才能獲得成功。 Microsoft 已經確定出在成功實施安全風險管理流程時必須具備的組成要素以及在開始實施后必須繼續(xù)存在的組成要素。 它們是： ?管理層的資助。?一份詳細的風險管理風險承擔者列表。?在風險管理方面的組織完善程度。?開放式交流的氛圍。?團隊精神。?對組織的全盤考慮。?安全風險管理小組授權。以下幾節(jié)討論整個安全風險管理流程所需的這些要素；其他只與具體階段有關的要素在