【正文】 部分，IT 管理協(xié)會(huì) (ITGI) 擁有一個(gè) IT 管理完善程度模式。 您可以獲得并審查 CobiT，從而為確定組織的完善程度找出詳細(xì)方法。 Microsoft 安全風(fēng)險(xiǎn)管理流程總結(jié)了 CobiT 中使用的要素，并根據(jù) Microsoft Services 開發(fā)的模式提供一個(gè)簡單的方法。 這里的完善程度定義建立在國際標(biāo)準(zhǔn)化組織 (ISO) 信息技術(shù) — 信息安全管理實(shí)施細(xì)則 (Code of practice for information security management)（也稱為 ISO 17799）基礎(chǔ)之上。 通過將其與下表中的定義相比較，可以評估組織的完善程度。表 ：安全風(fēng)險(xiǎn)管理的完善程度 程度狀態(tài)定義0不存在未記錄策略（或流程），而且之前組織完全不了解與此風(fēng)險(xiǎn)管理有關(guān)的企業(yè)風(fēng)險(xiǎn)。 因此，沒有關(guān)于此問題的通告。1特別顯然，組織的一些成員已得出結(jié)論：風(fēng)險(xiǎn)管理具有價(jià)值。 然而，風(fēng)險(xiǎn)管理工作是以特別方式進(jìn)行的。 沒有記錄流程或策略，且流程不可完全重復(fù)。 總的來說，風(fēng)險(xiǎn)管理計(jì)劃看來混亂且不協(xié)調(diào)，也未評定和審核其結(jié)果。2可重復(fù)整個(gè)企業(yè)都了解風(fēng)險(xiǎn)管理。 風(fēng)險(xiǎn)管理流程是可重復(fù)的，但尚不完善。 未完全記錄此流程，但活動(dòng)定期發(fā)生，且組織正在建立一個(gè)完整的風(fēng)險(xiǎn)管理流程，其中高層管理人員也有參與。 沒有關(guān)于風(fēng)險(xiǎn)管理的正式培訓(xùn)或通告，實(shí)施的責(zé)任落在了單個(gè)雇員身上。3已定義流程組織已正式?jīng)Q定全面地采用風(fēng)險(xiǎn)管理，以推動(dòng)其信息安全項(xiàng)目。 已制定了基準(zhǔn)流程，其中明確定義了為獲得和評定成功而記錄了流程的目標(biāo)。 此外，還向所有職員提供一些基本的風(fēng)險(xiǎn)管理培訓(xùn)。 最終，組織將要開始積極實(shí)施記錄的風(fēng)險(xiǎn)管理流程。4已管理組織的各個(gè)層面都已充分理解風(fēng)險(xiǎn)管理。 存在風(fēng)險(xiǎn)管理步驟、良好地定義了流程、廣泛地理解了流程、提供了嚴(yán)格的培訓(xùn)，并采用了一些初級評定形式以確定有效性。 已向風(fēng)險(xiǎn)管理計(jì)劃投入了充分的資源，組織的許多部門都從中受益，且安全風(fēng)險(xiǎn)管理小組能夠持續(xù)改進(jìn)其流程和工具。 有一些技術(shù)工具可幫助進(jìn)行風(fēng)險(xiǎn)管理，但許多（不是絕大多數(shù)）風(fēng)險(xiǎn)評估、控制措施驗(yàn)證和成本效益分析程序都是人工的。5已優(yōu)化組織已投入了重要資源進(jìn)行安全風(fēng)險(xiǎn)管理，公司成員期待著再次進(jìn)行嘗試以確定問題和解決方案在數(shù)月或數(shù)年之后會(huì)如何。 公司成員充分理解風(fēng)險(xiǎn)管理流程，而且通過工具的使用（無論是內(nèi)部開發(fā)的還是從獨(dú)立軟件供應(yīng)商獲?。?，流程已大為自動(dòng)化了。 已確定所有安全問題的根本原因，并已采取了適當(dāng)行動(dòng)使風(fēng)險(xiǎn)的重復(fù)率最小。 向工作人員提供了各級專業(yè)培訓(xùn)。. 組織風(fēng)險(xiǎn)管理完善程度的自我評估以下問題列表為評定組織完善程度提供了更為嚴(yán)格的方法。 這些問題的答案具有主觀性，但通過仔細(xì)思考每個(gè)答案，您應(yīng)該可以確定組織在實(shí)施 Microsoft 安全風(fēng)險(xiǎn)管理流程方面的準(zhǔn)備程度如何。 將以前的完善程度定義作為指南，在 0 到 5 分之間為組織評分。1.信息安全策略和步驟清楚、準(zhǔn)確、記錄良好而又完整。2.已清楚確定了工作職責(zé)與信息安全有關(guān)的所有員工崗位，并且員工已透徹了解了其角色與職責(zé)。3.良好地記錄了第三方對業(yè)務(wù)數(shù)據(jù)進(jìn)行安全訪問的策略和步驟。 例如，對內(nèi)部業(yè)務(wù)工具實(shí)施應(yīng)用程序開發(fā)的遠(yuǎn)程供應(yīng)商擁有豐富的網(wǎng)絡(luò)資源，從而能夠有效地合作并完成工作，但他們只持有最少量的訪問所需權(quán)限。4.硬件、軟件和數(shù)據(jù)庫等信息技術(shù) (IT) 資產(chǎn)詳細(xì)目錄是準(zhǔn)確且最新的。 5.采用了適當(dāng)?shù)目刂拼胧?，保護(hù)業(yè)務(wù)數(shù)據(jù)免于被未經(jīng)授權(quán)的外部和內(nèi)部用戶訪問。6.實(shí)施了有效的用戶知曉項(xiàng)目，如有關(guān)信息安全策略和方法的培訓(xùn)和新聞郵件。7.通過采用有效的控制措施，限制了對計(jì)算機(jī)網(wǎng)絡(luò)和其他信息技術(shù)資產(chǎn)的物理訪問。8.根據(jù)組織的安全標(biāo)準(zhǔn)，按照標(biāo)準(zhǔn)化方式，采用磁盤映像或編譯腳本等自動(dòng)化工具配置了新的計(jì)算機(jī)系統(tǒng)。9.有效的補(bǔ)丁程序管理系統(tǒng)可以自動(dòng)將來自大多數(shù)供應(yīng)商的軟件更新發(fā)布到組織內(nèi)的絕大多數(shù)計(jì)算機(jī)系統(tǒng)。10.已成立了事件響應(yīng)小組，而且已制定并記錄了處理和追蹤安全事件的有效流程。 調(diào)查所有事件，直至確定了根本原因并解決了所有問題。11.組織具有全面的防病毒程序，其中包括多層防御、用戶理解培訓(xùn)和響應(yīng)病毒爆發(fā)的有效流程。12.用戶裝備流程已被良好記錄并至少部分自動(dòng)化，因而可保證新雇員、供應(yīng)商和合作伙伴及時(shí)獲得訪問組織信息系統(tǒng)的適當(dāng)權(quán)限級別。 這些流程也應(yīng)支持在不再需要時(shí)及時(shí)禁用和刪除用戶帳戶。13.通過用戶驗(yàn)證和授權(quán)、數(shù)據(jù)的限制性訪問控制列表、以及前瞻性政策違背監(jiān)控來控制計(jì)算機(jī)和網(wǎng)絡(luò)的訪問權(quán)限。14.向應(yīng)用程序開發(fā)商提供指導(dǎo)，使其清楚地了解軟件創(chuàng)建和代碼質(zhì)量保證測試的安全標(biāo)準(zhǔn)。15.明確定義且良好記錄了企業(yè)持續(xù)性和企業(yè)持續(xù)項(xiàng)目，并通過模擬和操練定期進(jìn)行測試。16.確保所有員工以符合法律要求的方式執(zhí)行工作任務(wù)的項(xiàng)目已開始并且有效。17.定期進(jìn)行第三方復(fù)查和審核，以驗(yàn)證安全企業(yè)資產(chǎn)相對于標(biāo)準(zhǔn)方法的符合性。通過合計(jì)之前所有各項(xiàng)的分?jǐn)?shù)計(jì)算企業(yè)的分?jǐn)?shù)。 理論上來說，分?jǐn)?shù)應(yīng)在 0 至 85 之間；然而，極少數(shù)企業(yè)會(huì)得到兩端的分?jǐn)?shù)。 分?jǐn)?shù)高于或等于 51，表明組織已經(jīng)為引進(jìn)和使用 Microsoft 安全風(fēng)險(xiǎn)管理流程做好了充分準(zhǔn)備。 分?jǐn)?shù)為 34 至 50，表明組織已采取許多重要步驟來控制安全風(fēng)險(xiǎn)，并已準(zhǔn)備好逐步引進(jìn)本流程。 在此范圍內(nèi)的組織應(yīng)考慮把流程應(yīng)用到整個(gè)組織之前，先花幾個(gè)月的時(shí)間將流程推動(dòng)到一些業(yè)務(wù)單元中。 分?jǐn)?shù)低于 34 的組織應(yīng)考慮創(chuàng)建核心安全風(fēng)險(xiǎn)管理小組，并在開始的幾個(gè)月中將流程應(yīng)用到單個(gè)業(yè)務(wù)單元中，從而非常緩慢地開始使用 Microsoft 安全風(fēng)險(xiǎn)管理流程。 待到使用該流程的業(yè)務(wù)單元成功降低了風(fēng)險(xiǎn)，從而體現(xiàn)出流程的價(jià)值之后，企業(yè)可靈活地將流程擴(kuò)展到其他兩到三個(gè)更多的業(yè)務(wù)單元中。 但是仍應(yīng)逐步緩慢引進(jìn)，因?yàn)榱鞒桃鸬淖兓赡芎苤卮蟆?請不要過分干擾組織，以免影響其有效實(shí)現(xiàn)工作目標(biāo)的能力。 在這方面充分發(fā)揮您的判斷力 — 尚未保護(hù)的每個(gè)系統(tǒng)都處在潛在的安全和責(zé)任風(fēng)險(xiǎn)中，您對自己系統(tǒng)的了解是最重要的。 如果您急需使用該流程，則可以忽略緩慢引進(jìn)的建議，按自己的觀點(diǎn)做吧。您需要仔細(xì)考慮將哪個(gè)單元作為運(yùn)行項(xiàng)目的試點(diǎn)。 需考慮的問題包括：安全對此業(yè)務(wù)單元的重要程度，安全在其可用性、完整性以及信息和服務(wù)的機(jī)密性方面定義如何。 這樣的例子包括：?與整個(gè)組織相比，此業(yè)務(wù)單元的安全風(fēng)險(xiǎn)管理完善程度是否超出了平均水平？?業(yè)務(wù)單元的所有者是否會(huì)積極地支持此項(xiàng)目？?業(yè)務(wù)單元在整個(gè)組織中是否具有高度的可見性？?如果 Microsoft 安全風(fēng)險(xiǎn)管理流程試運(yùn)行項(xiàng)目成功，是否會(huì)有效地向組織其余部分通告其價(jià)值？在選擇業(yè)務(wù)單元來擴(kuò)展項(xiàng)目時(shí)，也應(yīng)考慮這些問題。注：美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì) (National Institute of Standards and Technology, NIST) 提供了 IT 自我評估的另一個(gè)示例，它可能有助于確定您的完善程度，請?jiān)L問：, special publication 80026。. 定義角色和職責(zé)出于跨部門交流和職責(zé)區(qū)分的要求，建立明確的角色和職責(zé)是任何風(fēng)險(xiǎn)管理計(jì)劃的關(guān)鍵成功因素。 下表描述 Microsoft 安全風(fēng)險(xiǎn)管理流程中的主要角色和職責(zé)。 表 ：Microsoft 安全風(fēng)險(xiǎn)管理流程中的主要角色和職責(zé)職務(wù)主要責(zé)任上級主管主持有關(guān)企業(yè)管理風(fēng)險(xiǎn)的所有活動(dòng)，例如為安全風(fēng)險(xiǎn)管理小組進(jìn)行開發(fā)、提供資金、授權(quán)和支持等工作。 通常由主管人員如首席安全官或首席信息官擔(dān)當(dāng)此角色。 此角色還是定義企業(yè)可接受風(fēng)險(xiǎn)的最后匯報(bào)人。企業(yè)所有者負(fù)責(zé)企業(yè)的有形及無形資產(chǎn)。 企業(yè)所有者還負(fù)責(zé)確定企業(yè)資產(chǎn)優(yōu)先級并定義資產(chǎn)所受影響的級別。 企業(yè)所有者通常負(fù)責(zé)定義可接受風(fēng)險(xiǎn)級別，然而，上級主管擁有采納信息安全組反饋的最終決策權(quán)。信息安全組負(fù)責(zé)較大的風(fēng)險(xiǎn)管理流程，包括評估風(fēng)險(xiǎn)和評定計(jì)劃有效性階段。 還定義功能性安全要求，并評定 IT 控制措施和安全風(fēng)險(xiǎn)管理計(jì)劃的總體有效性。信息技術(shù)組包括 IT 體系結(jié)構(gòu)、工程以及操作。安全風(fēng)險(xiǎn)管理小組負(fù)責(zé)推動(dòng)整個(gè)的風(fēng)險(xiǎn)管理計(jì)劃。 還負(fù)責(zé)評估風(fēng)險(xiǎn)階段，并確定企業(yè)面臨風(fēng)險(xiǎn)的優(yōu)先級。 小組至少應(yīng)由主持者和記錄者組成。風(fēng)險(xiǎn)評估主持者作為安全風(fēng)險(xiǎn)管理小組的領(lǐng)導(dǎo)角色，開展數(shù)據(jù)收集討論。 該角色可能還領(lǐng)導(dǎo)整個(gè)的風(fēng)險(xiǎn)管理流程。風(fēng)險(xiǎn)評估記錄者在數(shù)據(jù)收集討論過程中詳細(xì)記錄的風(fēng)險(xiǎn)信息。緩解方案所有者負(fù)責(zé)實(shí)施并維持控制解決方案，以將風(fēng)險(xiǎn)降低至可接受水平。 包括 IT 小組，有時(shí)還包括企業(yè)所有者。安全籌劃指導(dǎo)委員會(huì)由安全風(fēng)險(xiǎn)管理小組、IT 小組代表和特定企業(yè)所有者組成。 上級主管通常是此委員會(huì)的主席。 負(fù)責(zé)選擇緩解策略，并定義企業(yè)的可接受風(fēng)險(xiǎn)。風(fēng)險(xiǎn)承擔(dān)者一般術(shù)語請參考特定流程或項(xiàng)目的直接或間接參與者，在整個(gè) Microsoft 安全風(fēng)險(xiǎn)管理流程中使用。 風(fēng)險(xiǎn)承擔(dān)者還可能包括 IT 之外的其他小組，如：財(cái)務(wù)、公共關(guān)系和人力資源。安全風(fēng)險(xiǎn)管理小組可能會(huì)遇到風(fēng)險(xiǎn)管理流程的首次參與者，他們可能不會(huì)充分理解其角色。 經(jīng)常制造機(jī)會(huì)向參與者提供流程概述。 其目標(biāo)是建立共識并強(qiáng)調(diào)一個(gè)事實(shí)：參與者都是管理風(fēng)險(xiǎn)的主人公。 下表總結(jié)了關(guān)鍵參與者并顯示了其高級關(guān)系，有助于通告之前定義的角色和職責(zé)，并提供了風(fēng)險(xiǎn)管理計(jì)劃的概述。 要進(jìn)行總結(jié)，上級主管最終負(fù)責(zé)定義可接受風(fēng)險(xiǎn)，并向安全風(fēng)險(xiǎn)管理小組提供對企業(yè)風(fēng)險(xiǎn)評級的指導(dǎo)。 安全風(fēng)險(xiǎn)管理小組負(fù)責(zé)評估風(fēng)險(xiǎn)并定義功能性要求，以將風(fēng)險(xiǎn)緩解到可接受水平。 安全風(fēng)險(xiǎn)管理小組隨后則與負(fù)責(zé)選擇、實(shí)施和操作緩解方案的 IT 小組合作。 以下定義的最終關(guān)系為：安全風(fēng)險(xiǎn)管理小組對評定控制措施的有效性進(jìn)行監(jiān)督。 這通常以審核報(bào)告的形式出現(xiàn)，這也將向上級主管匯報(bào)。表 ：Microsoft 安全風(fēng)險(xiǎn)管理流程中的角色和職責(zé)概述查看大圖. 建立安全風(fēng)險(xiǎn)管理小組在開始風(fēng)險(xiǎn)評估流程之前，請勿忽略在安全風(fēng)險(xiǎn)管理小組內(nèi)明確定義角色。 因?yàn)轱L(fēng)險(xiǎn)管理的范圍包括整個(gè)企業(yè)，所以非信息安全組成員也可能需要成為風(fēng)險(xiǎn)管理小組的成員。 如果這種情形發(fā)生，需明確概括每個(gè)成員的角色，并需與上述總體風(fēng)險(xiǎn)管理計(jì)劃中定義的角色和責(zé)任一致。 盡早進(jìn)行角色定義可減少混淆，并有助于在整個(gè)流程中制定決策。 小組的所有成員都必須理解信息安全組對整個(gè)流程負(fù)責(zé)。 定義負(fù)責(zé)關(guān)系很重要，因?yàn)樾畔踩诹鞒痰拿總€(gè)階段（包括管理報(bào)告）都是唯一一組關(guān)鍵的風(fēng)險(xiǎn)承擔(dān)者。 . 安全風(fēng)險(xiǎn)管理小組角色和責(zé)任在組建了安全風(fēng)險(xiǎn)管理小組之后，要建立具體的角色并在整個(gè)流程維持這些角色，這點(diǎn)很重要。 風(fēng)險(xiǎn)評估主持者以及風(fēng)險(xiǎn)評估記錄者的主要角色描述如下：風(fēng)險(xiǎn)評估主持者必須對整個(gè)風(fēng)險(xiǎn)管理流程有著全面的理解，并充分了解業(yè)務(wù)以及構(gòu)成企業(yè)功能基礎(chǔ)的技術(shù)安全風(fēng)險(xiǎn)。 主持者必須在實(shí)施風(fēng)險(xiǎn)討論時(shí)能夠?qū)I(yè)務(wù)情形轉(zhuǎn)換為技術(shù)風(fēng)險(xiǎn)。 例如：風(fēng)險(xiǎn)評估主持者需要理解移動(dòng)工作者的技術(shù)威脅和漏洞，以及這些工作者的業(yè)務(wù)價(jià)值。 例如：如果移動(dòng)工作者無法訪問企業(yè)網(wǎng)絡(luò)，則無法處理客戶付款。 風(fēng)險(xiǎn)評估主持者必須理解類似的情形，并能夠確定技術(shù)風(fēng)險(xiǎn)和潛在控制要求，如移動(dòng)設(shè)備配置和驗(yàn)證要求。 如果可能，請選用一名曾實(shí)施過風(fēng)險(xiǎn)評估并了解業(yè)務(wù)的總體優(yōu)先級的風(fēng)險(xiǎn)評估主持者。如果不能找到具有風(fēng)險(xiǎn)評估經(jīng)驗(yàn)的主持者，則可以尋求一名合格的合作伙伴或顧問的幫助。 但是請確保涵蓋了熟悉業(yè)務(wù)的信息安全組成員及風(fēng)險(xiǎn)承擔(dān)者。注：向外尋找風(fēng)險(xiǎn)評估主持角色可能比較吸引人，但要小心，當(dāng)顧問離開時(shí)可能會(huì)失去風(fēng)險(xiǎn)承擔(dān)者關(guān)系、業(yè)務(wù)和安全知識。 不要低估風(fēng)險(xiǎn)管理流程將給風(fēng)險(xiǎn)承擔(dān)者及信息安全組帶來的價(jià)值。風(fēng)險(xiǎn)評估記錄員負(fù)責(zé)獲取筆記并記錄規(guī)劃和數(shù)據(jù)收集活動(dòng)。 此責(zé)任的角色定義在本階段可能看來太不夠正式；然而，可靠的筆記技能將在流程稍后的優(yōu)先排序和決策支持階段中獲得成功。 管理風(fēng)險(xiǎn)的最重要方面之一是以風(fēng)險(xiǎn)承擔(dān)者能理解的方式通告風(fēng)險(xiǎn)，并能應(yīng)用到他們的業(yè)務(wù)中。 一個(gè)優(yōu)秀的記錄員可以隨時(shí)提供書寫記錄，從而簡化流程。返回頁首. 總結(jié)第 13 章概述了風(fēng)險(xiǎn)管理并定義了開始為 Microsoft 安全風(fēng)險(xiǎn)管理流程的成功實(shí)施建造基礎(chǔ)的目標(biāo)和方法。 下一章將要詳細(xì)介紹第一階段：評估風(fēng)險(xiǎn)。 以后各章將依次介紹風(fēng)險(xiǎn)管理流程的各個(gè)階段：評估風(fēng)險(xiǎn)、實(shí)施決策支持、實(shí)施控制和評測項(xiàng)目有效性。5. 評估風(fēng)險(xiǎn). 概述整體風(fēng)險(xiǎn)管理流程由四個(gè)主要階段組成：評估風(fēng)險(xiǎn)、實(shí)施決策支持、實(shí)施控制和評定計(jì)劃有效性。 風(fēng)險(xiǎn)管理流程說明正式項(xiàng)目如何提供一致的方法來組織有限的資源，以管理整個(gè)組織面臨的風(fēng)險(xiǎn)。 通過創(chuàng)建一個(gè)符合成本效益的控制環(huán)境，將風(fēng)險(xiǎn)降低到一個(gè)可接受的程度并進(jìn)行衡量，從而實(shí)現(xiàn)眾多好處。評估風(fēng)險(xiǎn)階段確定了一個(gè)正式的流程來確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級。 Microsoft 安全風(fēng)險(xiǎn)管理流程對風(fēng)險(xiǎn)評估之實(shí)施提供詳細(xì)的指導(dǎo)，并且將評估風(fēng)險(xiǎn)階段細(xì)分為以下三個(gè)步驟：1.規(guī)劃 —為成功的風(fēng)險(xiǎn)評估建立基礎(chǔ)。2.主持式數(shù)據(jù)收集 — 通過主持式風(fēng)險(xiǎn)討論收集風(fēng)險(xiǎn)信息。3.確定風(fēng)險(xiǎn)優(yōu)先級 — 在一個(gè)一致且可重復(fù)的流程中為已確定風(fēng)險(xiǎn)的評級。評估風(fēng)險(xiǎn)階段的輸出結(jié)果是一份確定了優(yōu)先級的風(fēng)險(xiǎn)列表，該列表向?qū)嵤Q策支持階段（在第 5 章“實(shí)施決策支持”中詳細(xì)介紹）提供輸入資料來源。下圖概括介紹了整體風(fēng)險(xiǎn)管理流程，并說明了在較大項(xiàng)目中風(fēng)險(xiǎn)評估的角色。 同時(shí)突出了評估風(fēng)險(xiǎn)階段中的三個(gè)步驟。圖 Microsoft 安全風(fēng)險(xiǎn)管理流程：評估風(fēng)險(xiǎn)階段查看大圖本節(jié)簡單介紹評估風(fēng)險(xiǎn)階段中的三個(gè)步驟：規(guī)劃、加速數(shù)據(jù)收集和確定風(fēng)險(xiǎn)優(yōu)先級。 接下來介紹在您的環(huán)境中實(shí)施實(shí)際的風(fēng)險(xiǎn)評估需要執(zhí)行的具體任務(wù)。 . 規(guī)劃正確的風(fēng)險(xiǎn)評估規(guī)劃是整個(gè)風(fēng)險(xiǎn)管理計(jì)劃取得成功的關(guān)鍵。 未能適當(dāng)?shù)貙?zhǔn)評估風(fēng)險(xiǎn)階段、確定評估風(fēng)險(xiǎn)階段的范圍或獲得對評估風(fēng)險(xiǎn)階段的公認(rèn)，這會(huì)降低較大的項(xiàng)目中其他階段的有效性。 進(jìn)行風(fēng)險(xiǎn)評估可能會(huì)是一個(gè)要求巨大投資才能完成的復(fù)雜過程。 對規(guī)劃步驟至關(guān)重要的任務(wù)和指導(dǎo)將在本章的下一節(jié)介紹。. 主持式數(shù)據(jù)收集規(guī)劃后的下一步是從整個(gè)組織內(nèi)的風(fēng)險(xiǎn)承擔(dān)者收集與風(fēng)險(xiǎn)有關(guān)的信息；在實(shí)施決策支持階段中也將使用這些信息。 在