|
 |
推荐文章 |
|
|
|
|
|
|
|
|
|
|
|
风险消减-确定风险消减策略
风险消减(Risk Mitigation)是风险管理过程的第二个阶段,牵涉到确定风险消减策略、
风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。
要消减风险,就必须实施相应的安全措施,忽略或容忍所有的风险显然是不可接受的,
但实施安全控制措施要有所付出,包括购买、安装、维护等方面所需的人力和物力,所以,
组织的决策者就应该找到一个利益和代价的平衡点,根据组织的实际情况来选择最恰当的安
全措施,将组织面临的风险减少到可接受的水平,使组织资源和商务可能受到的负面影响降
低到最低程度。
接下来我们就来看风险消减阶段几个关键的行动步骤。
在组织选择并实施风险评估结果中推荐的安全措施之前,首先要明确自己的风险消减策
略,也就是应对各种风险的途径和决策方式。
就应对风险的途径来说,有以下几种选择:
- 降低风险(Reduce Risk)—— 实施有效控制,将风险降低到可接受的程度,实际
上就是力图减小威胁发生的可能性和带来的影响,包括:
- 减少威胁:例如,建立并实施恶意软件控制程序,减少信息系统受恶意软件
攻击的机会。
- 减少弱点:例如,通过安全教育和意识培训,强化职员的安全意识与安全操
作能力。
- 降低影响:例如,制定灾难恢复计划和业务连续性计划,做好备份。
- 规避风险(Avoid Risk)—— 有时候,组织可以选择放弃某些可能引来风险的业
务或资产,以此规避风险。例如,将重要的计算机系统与互联网隔离,使其免遭来
自外部网络的攻击。
- 转嫁风险(Transfer Risk)—— 将风险全部或者部分地转移到其他责任方,例如
购买商业保险。
- 接受风险(Accept Risk)—— 在实施了其他风险应对措施之后,对于残留的风险,
组织可以选择接受,即所谓的无作为。
针对特定风险,组织可以选择以上措施来应对,但有一点需要明确,面对众多已识别的
风险,组织很难对所有的风险都一视同仁。风险大小、严重程度、紧迫性、所需资源总归有
所区别,企业应该对待处理的风险有个优先级的考虑,如果是严重影响了组织商务生存的,
应该放到最前面,在资源提供和相关支持上也要优先给予。
当然,各个组织的环境和现实状况不同,安全目标也有差异,这就决定了在选择风险消
减策略上的多样性。应对风险,最好的办法就是将合适的技术、恰当的风险消减策略,以及
非技术性措施有机结合起来,这样才能达到较好的效果。
除了明确应对风险的途径,组织还应该清楚具体的决策方式,也就是说,什么时候并且
在什么情况下应该采取这些应对措施?对组织的管理层来说,这也是风险管理决策过程的必
然内容。
图4.1 所示就是风险消减决策的基本思路。
需要注意,对于攻击者代价大于可能收获的情况,比如加密算法尽管可破,但需要耗费
破解者大量计算资源和相当长的时间(比如几十年甚至更长),这种情况下,决策者可以考
虑接受风险,毕竟攻击难度的增大可以大大消减攻击者的动机。 |
|
|
|
|
|
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
|
|
|
|
|
责任编辑: 原点 |
投稿作者: 本站收集 |
|
|
信息来源: 网络 |
录入时间: 2005-5-30 |
|
|
|
| |
|
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]