【正文】 部分，IT 管理協(xié)會 (ITGI) 擁有一個 IT 管理完善程度模式。 您可以獲得并審查 CobiT，從而為確定組織的完善程度找出詳細方法。 Microsoft 安全風險管理流程總結了 CobiT 中使用的要素，并根據(jù) Microsoft Services 開發(fā)的模式提供一個簡單的方法。 這里的完善程度定義建立在國際標準化組織 (ISO) 信息技術 — 信息安全管理實施細則 (Code of practice for information security management)（也稱為 ISO 17799）基礎之上。 通過將其與下表中的定義相比較，可以評估組織的完善程度。表 ：安全風險管理的完善程度 程度狀態(tài)定義0不存在未記錄策略（或流程），而且之前組織完全不了解與此風險管理有關的企業(yè)風險。 因此，沒有關于此問題的通告。1特別顯然，組織的一些成員已得出結論：風險管理具有價值。 然而，風險管理工作是以特別方式進行的。 沒有記錄流程或策略，且流程不可完全重復。 總的來說，風險管理計劃看來混亂且不協(xié)調，也未評定和審核其結果。2可重復整個企業(yè)都了解風險管理。 風險管理流程是可重復的，但尚不完善。 未完全記錄此流程，但活動定期發(fā)生，且組織正在建立一個完整的風險管理流程，其中高層管理人員也有參與。 沒有關于風險管理的正式培訓或通告，實施的責任落在了單個雇員身上。3已定義流程組織已正式?jīng)Q定全面地采用風險管理，以推動其信息安全項目。 已制定了基準流程，其中明確定義了為獲得和評定成功而記錄了流程的目標。 此外，還向所有職員提供一些基本的風險管理培訓。 最終，組織將要開始積極實施記錄的風險管理流程。4已管理組織的各個層面都已充分理解風險管理。 存在風險管理步驟、良好地定義了流程、廣泛地理解了流程、提供了嚴格的培訓，并采用了一些初級評定形式以確定有效性。 已向風險管理計劃投入了充分的資源，組織的許多部門都從中受益，且安全風險管理小組能夠持續(xù)改進其流程和工具。 有一些技術工具可幫助進行風險管理，但許多（不是絕大多數(shù)）風險評估、控制措施驗證和成本效益分析程序都是人工的。5已優(yōu)化組織已投入了重要資源進行安全風險管理，公司成員期待著再次進行嘗試以確定問題和解決方案在數(shù)月或數(shù)年之后會如何。 公司成員充分理解風險管理流程，而且通過工具的使用（無論是內部開發(fā)的還是從獨立軟件供應商獲取），流程已大為自動化了。 已確定所有安全問題的根本原因，并已采取了適當行動使風險的重復率最小。 向工作人員提供了各級專業(yè)培訓。. 組織風險管理完善程度的自我評估以下問題列表為評定組織完善程度提供了更為嚴格的方法。 這些問題的答案具有主觀性，但通過仔細思考每個答案，您應該可以確定組織在實施 Microsoft 安全風險管理流程方面的準備程度如何。 將以前的完善程度定義作為指南，在 0 到 5 分之間為組織評分。1.信息安全策略和步驟清楚、準確、記錄良好而又完整。2.已清楚確定了工作職責與信息安全有關的所有員工崗位，并且員工已透徹了解了其角色與職責。3.良好地記錄了第三方對業(yè)務數(shù)據(jù)進行安全訪問的策略和步驟。 例如，對內部業(yè)務工具實施應用程序開發(fā)的遠程供應商擁有豐富的網(wǎng)絡資源，從而能夠有效地合作并完成工作，但他們只持有最少量的訪問所需權限。4.硬件、軟件和數(shù)據(jù)庫等信息技術 (IT) 資產(chǎn)詳細目錄是準確且最新的。 5.采用了適當?shù)目刂拼胧Ｗo業(yè)務數(shù)據(jù)免于被未經(jīng)授權的外部和內部用戶訪問。6.實施了有效的用戶知曉項目，如有關信息安全策略和方法的培訓和新聞郵件。7.通過采用有效的控制措施，限制了對計算機網(wǎng)絡和其他信息技術資產(chǎn)的物理訪問。8.根據(jù)組織的安全標準，按照標準化方式，采用磁盤映像或編譯腳本等自動化工具配置了新的計算機系統(tǒng)。9.有效的補丁程序管理系統(tǒng)可以自動將來自大多數(shù)供應商的軟件更新發(fā)布到組織內的絕大多數(shù)計算機系統(tǒng)。10.已成立了事件響應小組，而且已制定并記錄了處理和追蹤安全事件的有效流程。 調查所有事件，直至確定了根本原因并解決了所有問題。11.組織具有全面的防病毒程序，其中包括多層防御、用戶理解培訓和響應病毒爆發(fā)的有效流程。12.用戶裝備流程已被良好記錄并至少部分自動化，因而可保證新雇員、供應商和合作伙伴及時獲得訪問組織信息系統(tǒng)的適當權限級別。 這些流程也應支持在不再需要時及時禁用和刪除用戶帳戶。13.通過用戶驗證和授權、數(shù)據(jù)的限制性訪問控制列表、以及前瞻性政策違背監(jiān)控來控制計算機和網(wǎng)絡的訪問權限。14.向應用程序開發(fā)商提供指導，使其清楚地了解軟件創(chuàng)建和代碼質量保證測試的安全標準。15.明確定義且良好記錄了企業(yè)持續(xù)性和企業(yè)持續(xù)項目，并通過模擬和操練定期進行測試。16.確保所有員工以符合法律要求的方式執(zhí)行工作任務的項目已開始并且有效。17.定期進行第三方復查和審核，以驗證安全企業(yè)資產(chǎn)相對于標準方法的符合性。通過合計之前所有各項的分數(shù)計算企業(yè)的分數(shù)。 理論上來說，分數(shù)應在 0 至 85 之間；然而，極少數(shù)企業(yè)會得到兩端的分數(shù)。 分數(shù)高于或等于 51，表明組織已經(jīng)為引進和使用 Microsoft 安全風險管理流程做好了充分準備。 分數(shù)為 34 至 50，表明組織已采取許多重要步驟來控制安全風險，并已準備好逐步引進本流程。 在此范圍內的組織應考慮把流程應用到整個組織之前，先花幾個月的時間將流程推動到一些業(yè)務單元中。 分數(shù)低于 34 的組織應考慮創(chuàng)建核心安全風險管理小組，并在開始的幾個月中將流程應用到單個業(yè)務單元中，從而非常緩慢地開始使用 Microsoft 安全風險管理流程。 待到使用該流程的業(yè)務單元成功降低了風險，從而體現(xiàn)出流程的價值之后，企業(yè)可靈活地將流程擴展到其他兩到三個更多的業(yè)務單元中。 但是仍應逐步緩慢引進，因為流程引起的變化可能很重大。 請不要過分干擾組織，以免影響其有效實現(xiàn)工作目標的能力。 在這方面充分發(fā)揮您的判斷力 — 尚未保護的每個系統(tǒng)都處在潛在的安全和責任風險中，您對自己系統(tǒng)的了解是最重要的。 如果您急需使用該流程，則可以忽略緩慢引進的建議，按自己的觀點做吧。您需要仔細考慮將哪個單元作為運行項目的試點。 需考慮的問題包括：安全對此業(yè)務單元的重要程度，安全在其可用性、完整性以及信息和服務的機密性方面定義如何。 這樣的例子包括：?與整個組織相比，此業(yè)務單元的安全風險管理完善程度是否超出了平均水平？?業(yè)務單元的所有者是否會積極地支持此項目？?業(yè)務單元在整個組織中是否具有高度的可見性？?如果 Microsoft 安全風險管理流程試運行項目成功，是否會有效地向組織其余部分通告其價值？在選擇業(yè)務單元來擴展項目時，也應考慮這些問題。注：美國國家標準與技術協(xié)會 (National Institute of Standards and Technology, NIST) 提供了 IT 自我評估的另一個示例，它可能有助于確定您的完善程度，請訪問：, special publication 80026。. 定義角色和職責出于跨部門交流和職責區(qū)分的要求，建立明確的角色和職責是任何風險管理計劃的關鍵成功因素。 下表描述 Microsoft 安全風險管理流程中的主要角色和職責。 表 ：Microsoft 安全風險管理流程中的主要角色和職責職務主要責任上級主管主持有關企業(yè)管理風險的所有活動，例如為安全風險管理小組進行開發(fā)、提供資金、授權和支持等工作。 通常由主管人員如首席安全官或首席信息官擔當此角色。 此角色還是定義企業(yè)可接受風險的最后匯報人。企業(yè)所有者負責企業(yè)的有形及無形資產(chǎn)。 企業(yè)所有者還負責確定企業(yè)資產(chǎn)優(yōu)先級并定義資產(chǎn)所受影響的級別。 企業(yè)所有者通常負責定義可接受風險級別，然而，上級主管擁有采納信息安全組反饋的最終決策權。信息安全組負責較大的風險管理流程，包括評估風險和評定計劃有效性階段。 還定義功能性安全要求，并評定 IT 控制措施和安全風險管理計劃的總體有效性。信息技術組包括 IT 體系結構、工程以及操作。安全風險管理小組負責推動整個的風險管理計劃。 還負責評估風險階段，并確定企業(yè)面臨風險的優(yōu)先級。 小組至少應由主持者和記錄者組成。風險評估主持者作為安全風險管理小組的領導角色，開展數(shù)據(jù)收集討論。 該角色可能還領導整個的風險管理流程。風險評估記錄者在數(shù)據(jù)收集討論過程中詳細記錄的風險信息。緩解方案所有者負責實施并維持控制解決方案，以將風險降低至可接受水平。 包括 IT 小組，有時還包括企業(yè)所有者。安全籌劃指導委員會由安全風險管理小組、IT 小組代表和特定企業(yè)所有者組成。 上級主管通常是此委員會的主席。 負責選擇緩解策略，并定義企業(yè)的可接受風險。風險承擔者一般術語請參考特定流程或項目的直接或間接參與者，在整個 Microsoft 安全風險管理流程中使用。 風險承擔者還可能包括 IT 之外的其他小組，如：財務、公共關系和人力資源。安全風險管理小組可能會遇到風險管理流程的首次參與者，他們可能不會充分理解其角色。 經(jīng)常制造機會向參與者提供流程概述。 其目標是建立共識并強調一個事實：參與者都是管理風險的主人公。 下表總結了關鍵參與者并顯示了其高級關系，有助于通告之前定義的角色和職責，并提供了風險管理計劃的概述。 要進行總結，上級主管最終負責定義可接受風險，并向安全風險管理小組提供對企業(yè)風險評級的指導。 安全風險管理小組負責評估風險并定義功能性要求，以將風險緩解到可接受水平。 安全風險管理小組隨后則與負責選擇、實施和操作緩解方案的 IT 小組合作。 以下定義的最終關系為：安全風險管理小組對評定控制措施的有效性進行監(jiān)督。 這通常以審核報告的形式出現(xiàn)，這也將向上級主管匯報。表 ：Microsoft 安全風險管理流程中的角色和職責概述查看大圖. 建立安全風險管理小組在開始風險評估流程之前，請勿忽略在安全風險管理小組內明確定義角色。 因為風險管理的范圍包括整個企業(yè)，所以非信息安全組成員也可能需要成為風險管理小組的成員。 如果這種情形發(fā)生，需明確概括每個成員的角色，并需與上述總體風險管理計劃中定義的角色和責任一致。 盡早進行角色定義可減少混淆，并有助于在整個流程中制定決策。 小組的所有成員都必須理解信息安全組對整個流程負責。 定義負責關系很重要，因為信息安全在流程的每個階段（包括管理報告）都是唯一一組關鍵的風險承擔者。 . 安全風險管理小組角色和責任在組建了安全風險管理小組之后，要建立具體的角色并在整個流程維持這些角色，這點很重要。 風險評估主持者以及風險評估記錄者的主要角色描述如下：風險評估主持者必須對整個風險管理流程有著全面的理解，并充分了解業(yè)務以及構成企業(yè)功能基礎的技術安全風險。 主持者必須在實施風險討論時能夠將業(yè)務情形轉換為技術風險。 例如：風險評估主持者需要理解移動工作者的技術威脅和漏洞，以及這些工作者的業(yè)務價值。 例如：如果移動工作者無法訪問企業(yè)網(wǎng)絡，則無法處理客戶付款。 風險評估主持者必須理解類似的情形，并能夠確定技術風險和潛在控制要求，如移動設備配置和驗證要求。 如果可能，請選用一名曾實施過風險評估并了解業(yè)務的總體優(yōu)先級的風險評估主持者。如果不能找到具有風險評估經(jīng)驗的主持者，則可以尋求一名合格的合作伙伴或顧問的幫助。 但是請確保涵蓋了熟悉業(yè)務的信息安全組成員及風險承擔者。注：向外尋找風險評估主持角色可能比較吸引人，但要小心，當顧問離開時可能會失去風險承擔者關系、業(yè)務和安全知識。 不要低估風險管理流程將給風險承擔者及信息安全組帶來的價值。風險評估記錄員負責獲取筆記并記錄規(guī)劃和數(shù)據(jù)收集活動。 此責任的角色定義在本階段可能看來太不夠正式；然而，可靠的筆記技能將在流程稍后的優(yōu)先排序和決策支持階段中獲得成功。 管理風險的最重要方面之一是以風險承擔者能理解的方式通告風險，并能應用到他們的業(yè)務中。 一個優(yōu)秀的記錄員可以隨時提供書寫記錄，從而簡化流程。返回頁首. 總結第 13 章概述了風險管理并定義了開始為 Microsoft 安全風險管理流程的成功實施建造基礎的目標和方法。 下一章將要詳細介紹第一階段：評估風險。 以后各章將依次介紹風險管理流程的各個階段：評估風險、實施決策支持、實施控制和評測項目有效性。5. 評估風險. 概述整體風險管理流程由四個主要階段組成：評估風險、實施決策支持、實施控制和評定計劃有效性。 風險管理流程說明正式項目如何提供一致的方法來組織有限的資源，以管理整個組織面臨的風險。 通過創(chuàng)建一個符合成本效益的控制環(huán)境，將風險降低到一個可接受的程度并進行衡量，從而實現(xiàn)眾多好處。評估風險階段確定了一個正式的流程來確定組織面臨的風險并確定其優(yōu)先級。 Microsoft 安全風險管理流程對風險評估之實施提供詳細的指導，并且將評估風險階段細分為以下三個步驟：1.規(guī)劃 —為成功的風險評估建立基礎。2.主持式數(shù)據(jù)收集 — 通過主持式風險討論收集風險信息。3.確定風險優(yōu)先級 — 在一個一致且可重復的流程中為已確定風險的評級。評估風險階段的輸出結果是一份確定了優(yōu)先級的風險列表，該列表向實施決策支持階段（在第 5 章“實施決策支持”中詳細介紹）提供輸入資料來源。下圖概括介紹了整體風險管理流程，并說明了在較大項目中風險評估的角色。 同時突出了評估風險階段中的三個步驟。圖 Microsoft 安全風險管理流程：評估風險階段查看大圖本節(jié)簡單介紹評估風險階段中的三個步驟：規(guī)劃、加速數(shù)據(jù)收集和確定風險優(yōu)先級。 接下來介紹在您的環(huán)境中實施實際的風險評估需要執(zhí)行的具體任務。 . 規(guī)劃正確的風險評估規(guī)劃是整個風險管理計劃取得成功的關鍵。 未能適當?shù)貙试u估風險階段、確定評估風險階段的范圍或獲得對評估風險階段的公認，這會降低較大的項目中其他階段的有效性。 進行風險評估可能會是一個要求巨大投資才能完成的復雜過程。 對規(guī)劃步驟至關重要的任務和指導將在本章的下一節(jié)介紹。. 主持式數(shù)據(jù)收集規(guī)劃后的下一步是從整個組織內的風險承擔者收集與風險有關的信息；在實施決策支持階段中也將使用這些信息。 在