文档介绍:.,〇〇,方便读者阅读。分发控制编号读者文档权限与文档的主要关系1大成科技项目组创建、修改、读取项目组成员,负责编制、修改、审核本文件2王娟批准项目的负责人,负责本文档的批准程序3吴鲁加标准化审核项目标准化负责人,:na//security/guidance/secrisk/,可能会觉得不知所措。原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户,Microsoft编写了《安全风险管理指南》。本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶段,以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。本指南不考虑技术因素,并参考了许多关于安全风险管理的行业认可标准。它是Microsoft承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结构之安全的一个重要示例。本指南结合了来自MicrosoftIT的实际经验,也包括了由Microsoft客户及合作伙伴所提供的资料。本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在na//security/guidance上的SecurityGuidanceCenter中找到。有关本指南的反馈或问题,请发邮件到secwish@。本指南包括六章和四个附录。(IT)在支持其业务目标中扮演的关键角色。但如今高度连接的IT基础结构存在于一个敌对性不断增加的环境中-攻击的频率越来越高,而要求的反应时间越来越短。通常,组织不能够在其业务受到影响之前对新的安全威胁采取应对措施。管理基础结构的安全性,以及这些基础结构提供的业务价值,已经成为IT部门的首要关注事项。此外,因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效地管理他们的IT基础结构。很多政府机构和与这些机构没有联系的组织被法律强制要求至少维持一种最低程度的安全监督。未能前瞻性地管理安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。,可帮助各种规模的组织响应他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让企业能够以最具有成本效益的方式运行,并且使已知的业务风险维持在可接受的水平。它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。在您采用适当的、具有成本效益的控制措施将风险降低到可接受水平时,您将认识到使用安全风险管理的好处。可接受风险的定义以及管理风险的方法,因各个组织而异。没有正确或错误的答案,目前有许多风险管理模型在使用之中。每个模型均具有平衡准确性、资源、时间、复杂性和主观性的平衡点。投资于具有固定框架和明确角色和职责的风险管理流程,使组织可以确定优先级,规划以缓解威胁,以及解决业务面临的下一个威胁或漏洞。此外,有效的风险管理计划将帮助公司在满足新的法律要求方面举得明显的进步。。以Microsoft自己及其客户的经验为基础,本指南在制定过程中经过客户、合作伙伴、技术审核者的测试与审核。其目的是对如何实施安全风险管理流程提供一个明确的可操作指南。这样做有很多好处,其中包括:?使客户采取前瞻性安全方法,从被动的令人灰心丧气的流程中解放出来。?通过显示安全项目的价值来衡量安全。?帮助客户有效地缓解环境中的最主要的风险而不是将保贵的资源用于解决所有可能的风险。,在一个循环的四阶段流程中提供已建立的风险管理模型的混合体,从而在成本和效益之间寻求平衡。在风险评估流程中,定性步骤迅速地确定最重要的风险。一个以详细定义的角色和职责为基础的量化流程。本方法非常详细,并得出对最重要风险的充分了解。风险评估流程中的定性和定量步骤共同提供一个基础,让您可以按照智能业务流程做出关于风险和缓解措施的可靠决策。注:如果本摘要中讨论的某些概念对您而言是新概念,请不要担心;后续章节中将有详细说明。例如,第2章“安全风险管理实践调查”