《安全风险管理评估概述及实用方法.docx》由会员分享,可在线阅读,更多相关《安全风险管理评估概述及实用方法.docx(3页珍藏版)》请在三一文库上搜索。
1、安全风险管理评估概述及实用方法 我们将风险管理评估定义为:将整个企业内的风险降低到可接受水平的整体流程;将风险评估定义为:确定企业面临的风险并确定其优先级的流程。 二者关系:整体风险管理流程由四个主要阶段组成:评估风险、执行决策支持、实施掌握和评定计划有效性;而风险评估只是指在更大的风险管理周期中的评估风险阶段。 传统上,安全风险管理的方法有两种:反应性方法和前瞻性方法,各有优点与缺点。确定某一风险的优先级也有两种不同的方法:定性安全风险评估和定量安全风险评估。 风险管理评估的方法 许多组织都通过响应一个相对较小的安全事件引入安全风险管理(风控网)。但无论最初的事件是什么,随着越来越多与安全有
2、关的问题出现,并开头影响业务,许多组织对响应一个接一个的危机感到灰心丧气。他们需要一种替代方法,一种能削减首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法,但此方法也只是解决方案的一部分。 反应性风险管理评估方法 当一个安全事件发生时,许多IT专业人员感到惟一可行的就是遏制情形,指动身生了什么事情,并尽可能快地修复受影响的系统。反应性方法是一种对已经被利用并转换为安全事件的安全风险的有效技术响应,使反应性方法具有一定程度的严密性,可帮助全部类型的组织更好地利用他们的资源。 前瞻性风险管理评估方法 与反应性方法相比,前瞻性安全风险管理有许多优点。与等待坏事情发生然后再做出响应不同,前
3、瞻性方法首先最大程度地降低坏事情发生的可能性。 当然,组织不应完全放弃事件响应。一个有效的前瞻性方法可帮助组织显着削减将来发生安全事件的数量。但是好像此类问题并不会完全消逝,因此,组织应连续改善他们的事件响应流程,同时制定长期的前瞻性方法。 确定风险管理评估优先级的方法 确定风险优先级或评估风险有多种方法,但是大多数都基于两种方法或这两种方法的组合:定量风险评估和定性风险评估。 定量风险管理评估 在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。例如:用替换成本、生产率损失成本、品牌名誉成本以及其它直接和间接商业价值来估计各个企业资产的真实价值。计算资产暴露程度、掌握成本以及在风险管理流程中确定的全部其它值时,尽量具有相同的客观性。 定性风险管理评估 定性风险评估与定量风险评估的区分在于在前一方法中不用向资产安排难以确定的财务价值、预期损失和掌握成本,取而代之的是计算相对值。通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如:信息安全专家、信息技术经理和员工、企业资产全部者和用户以及高级经理。 - 3 -