安全风险管理流程安全风险管理流程是一种混合方法，综合了两种传统 ....pdfVIP

安全风险管理流程 安全风险管理流程是一种混合方法，综合了两种传统方法的优点。 正如您将在后续章节中 所见，本指南介绍了安全风险管理的一种独特方法，比传统的定量方法更为快速。 与传统 的定性方法相比，这种方法还提供了更加详细的结果，并且能更加容易地向管理层证明。通 过将定性方法的简单性和简明性与定量方法的一些严格性结合起来，本指南为安全风险管理 提供了一种有效且可使用的独特流程。 流程的目标是使风险承担者能够了解评估中的每一 步骤。 此方法比传统的定量风险管理大为简单，最大程度地减少风险分析和决策支持阶段 的结果面临的阻力，使一致意见的达成更为快速并在整个流程中都得到维护。 安全风险管理流程由四个阶段构成。 第一个阶段是评估风险阶段，综合了定性和定量风险 评估方法。 用定性方法来快速类选安全风险的整个列表。 然后用定量方法更加详细地检查 在此类选过程中确定的最严重的风险。 结果是一份相对较短的经过详细检查的最重要风险 列表。 此短列表在下一阶段“实施决策支持”中使用，在该阶段中提议并评估潜在的控制解决方案， 然后将最好的解决方案作为缓解顶级风险的推荐交给组织的安全筹划指导委员会。 在第三 阶段“实施控制”中，缓解方案所有者实际实施控制解决方案。 第四阶段“评定计划有效 性”用于验证控制措施实际提供预期的保护程度，并观察环境变化，例如可能改变组织风险 配置的新业务应用程序或攻击工具。 因为安全风险管理流程是持续进行的，周期以各个新的风险评估重新开始。 周期重新开始 的频率因组织不同而异；很多组织发现每年一次就已足够，因为组织正前瞻性地监控新的漏 洞、威胁和资产。 图 2.2 安全风险管理流程的阶段 以上图 2.2 说明了安全风险管理流程的四个阶段。 本章在本指南中首先全面总结了安全风险管理流程。 此后，本章探讨了将有助于读者实施 该流程的几个主题。 这些主题为安全风险管理计划的成功提供了坚实的基础，其中包括： • 区分风险管理和风险评估。 • 有效地通告风险。 • 评价当前风险管理方法的完善程度。 • 定义角色和职责。 另请特别注意：风险管理只是较大的管理计划中的一部分，以便公司领导层监督业务并作出 明智的决策。 尽管各管理计划有很大差异，但所有计划都要求有一个结构化的安全风险管 理组成，从而确定安全风险优先级并缓解安全风险。安全风险管理流程概念可应用到任何管 理计划，以帮助定义风险并将其降低到可接受水平。 第 3 章：安全风险管理概述 安全风险管理流程的四个阶段 第 2 章：“风险管理方法调查”介绍了安全风险管理流程并将其定义为由四个主要阶段组成 的持续过程： 1. 评估风险 — 确定企业面临的风险并确定其优先级。 2. 实施决策支持 — 根据已定义的成本效益分析流程确定并评价控制解决方案。 3. 实施控制 — 部署并实施控制解决方案以降低企业面临的风险。 4. 评定计划有效性 — 分析风险管理流程的效率，并验证控制措施提供了预期的保护程度。 此四部分的风险管理周期总结了安全风险管理流程，并用于组织本指南的整个内容。 然而，在定义安全风险管理流程的具体方法之前，需要了解更大的风险管理流程及其组成部 分，这很重要。 周期的各个阶段都包括多个详细的步骤。 下表概括了各个步骤，以帮助您 全面了解指南中每个步骤的重要性： • 评估风险阶段 • 规划数据收集 — 探讨成功和准备指南的关键所在。 • 收集风险数据 — 概括数据收集流程并进行分析。 • 确定风险优先级 — 概括定性和定量风险的说明性步骤。 • 实施决策支持阶段 • 定义功能要求 — 定义功能要求以缓解风险。 • 选择可能的控制解决方案 — 概括确定缓解解决方案的方法。 • 审查解决方案 — 根据功能要求评价所提议的控制措施。 • 评估风险降低程度 — 努力了解降低的风险暴露程度或风险概率。 • 评估解决方案成本 — 评估与缓解解决方案相关联的直接或间接成本。 • 选择缓解策略 — 完成成本效益分析以确定最具成本效益的缓解解决方案。 • 实施控制阶段 • 寻求全局方法 — 将人员、流程和技术纳入缓解解决方案。 • 按纵深防御组织 — 在整个企业内组织缓解解决方案。 • 评定计划有效性阶段 • 制定风险评分卡 — 了解风险状态和进程。 • 评定计划有效性 — 评价风险管理计划，以寻找机会以进行改善。 本指南的