文档介绍:微软安全风险管理指南
深圳大成天下信息技术有限公司
ShenZhen Unnoo Information Tech., Inc.
二〇〇五年一月
文档信息
文档名称
微软安全风险管理指南
保密级别
文档版本编号
制作人
制作日期
复审人
复审日期
适用范围
本文件是从微软网页上摘录成doc,方便读者阅读。
分发控制
编号
读者
文档权限
与文档的主要关系
1
大成科技项目组
创建、修改、读取
项目组成员,负责编制、修改、审核本文件
2
王娟
批准
项目的负责人,负责本文档的批准程序
3
吴鲁加
标准化审核
项目标准化负责人,对文档进行标准化审核
版本控制
时间
版本
说明
修改人
文档创建
原文档参见:
na//security/guidance/secrisk/
概述
客户在尝试实施安全风险管理计划时,可能会觉得不知所措。原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户,Microsoft 编写了《安全风险管理指南》。 
本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶段,以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。
本指南不考虑技术因素,并参考了许多关于安全风险管理的行业认可标准。它是 Microsoft 承诺提供高质量指南以帮助客户保护其信息技术(IT) 基础结构之安全的一个重要示例。本指南结合了来自 Microsoft IT 的实际经验,也包括了由 Microsoft 客户及合作伙伴所提供的资料。
本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在 na//security/guidance 上的 Security Guidance Center 中找到。有关本指南的反馈或问题,请发邮件到
secwish@。  
本指南包括六章和四个附录。
安全风险管理指南介绍
摘要
环境挑战
大多数组织都认识到信息技术(IT) 在支持其业务目标中扮演的关键角色。但如今高度连接的 IT 基础结构存在于一个敌对性不断增加的环境中- 攻击的频率越来越高,而要求的反应时间越来越短。通常,组织不能够在其业务受到影响之前对新的安全威胁采取应对措施。管理基础结构的安全性,以及这些基础结构提供的业务价值,已经成为 IT 部门的首要关注事项。
此外,因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效地管理他们的 IT 基础结构。很多政府机构和与这些机构没有联系的组织被法律强制要求至少维持一种最低程度的安全监督。未能前瞻性地管理安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。
一种较好的方法
Microsoft 的安全风险管理方法提供了一种前瞻性的方法,可帮助各种规模的组织响应他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让企业能够以最具有成本效益的方式运行,并且使已知的业务风险维持在可接受的水平。它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。在您采用适当的、具有成本效益的控制措施将风险降低到可接受水平时,您将认识到使用安全风险管理的好处。
可接受风险的定义以及管理风险的方法,因各个组织而异。没有正确或错误的答案,目前有许多风险管理模型在使用之中。每个模型均具有平衡准确性、资源、时间、复杂性和主观性的平衡点。投资于具有固定框架和明确角色和职责的风险管理流程,使组织可以确定优先级,规划以缓解威胁,以及解决业务面临的下一个威胁或漏洞。此外,有效的风险管理计划将帮助公司在满足新的法律要求方面举得明显的进步。
Microsoft 在安全风险管理中的角色
这是 Microsoft 出版的第一部完全集中论述安全风险管理的说明性指南。以 Microsoft 自己及其客户的经验为基础,本指南在制定过程中经过客户、合作伙伴、技术审核者的测试与审核。其目的是对如何实施安全风险管理流程提供一个明确的可操作指南。这样做有很多好处,其中包括:
•
使客户采取前瞻性安全方法,从被动的令人灰心丧气的流程中解放出来。
•
通过显示安全项目的价值来衡量安全。
•
帮助客户有效地缓解环境中的最主要的风险而不是将保贵的资源用于解决所有可能的风险。
指南概述
本指南采用行业标准,在一个循环的四阶段流程中提供已建立的风险管理模型的混合体,从而在成本和效益之间寻求平衡。在风险评估流程中,定性步骤迅速地确定最重要的风险。一个以详细定义的角色和职责为基础的量化流