第20讲风险消减-确定风险消减策略_第1页
第20讲风险消减-确定风险消减策略_第2页
第20讲风险消减-确定风险消减策略_第3页
第20讲风险消减-确定风险消减策略_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第20讲风险消减-确定风险消减策略风险消减(Risk Mitigation )是风险管理过程的第二个阶段,牵涉到确定风险消减策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等 活动。要消减风险,就必须实施相应的安全措施,忽略或容忍所有的风险显然是不可接受的,但实施安全控制措施要有所付出,包括购买、安装、维护等方面所需的人力和物力,所以,组织的决策者就应该找到一个利益和代价的平衡点,根据组织的实际情况来选择最恰当的安全措施,将组织面临的风险减少到可接受的水平,使组织资源和商务可能受到的负面影响降低到最低程度。接下来我们就来看风险消减阶段几个关键的行动步骤。在组织选择并实施风险评估

2、结果中推荐的安全措施之前,首先要明确自己的风险消减策略,也就是应对各种风险的途径和决策方式。就应对风险的途径来说,有以下几种选择: 降低风险(Reduce Risk)实施有效控制,将风险降低到可接受的 程度,实际上就是力图减小威胁发生的可能性和带来的影响,包括: 减少威胁:例如,建立并实施恶意软件控制程序, 减少信息系统受恶意软 件攻击的机会。 减少弱点:例如,通过安全教育和意识培训,强化职员的安全意识与安全 操作能力。 降低影响:例如,制定灾难恢复计划和业务连续性计划,做好备份 规避风险(Avoid Risk) 有时候,组织可以选择放弃某些可能引来 风险的业务或资产,以此规避风险。例如,将重

3、要的计算机系统与互联网 隔离,使其免遭来自外部网络的攻击。 转嫁风险(Transfer Risk ) 将风险全部或者部分地转移到其他责任 方,例如购买商业保险。 接受风险(Accept Risk)在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受,即所谓的无作为。针对特定风险,组织可以选择以上措施来应对, 但有一点需要明确,面对 众多已识别的风险,组织很难对所有的风险都一视同仁。 风险大小、严重 程度、紧迫性、所需资源总归有所区别,企业应该对待处理的风险有个优 先级的考虑,如果是严重影响了组织商务生存的, 应该放到最前面,在资 源提供和相关支持上也要优先给予。当然,各个组织的环境和现实状况不同, 安全目标也有差异,这就决定了 在选择风险消减策略上的多样性。应对风险,最好的办法就是将合适的技 术、恰当的风险消减策略,以及非技术性措施有机结合起来, 这样才能达 到较好的效果。除了明确应对风险的途径,组织还应该清楚具体的决策方式,也就是说,什么时候并且在什么情况下应该采取这些应对措施?对组织的管理层来说,这也是风险管理决策过程的必然内容。图4.1所示就是风险消减决策的基本思路图41风唆消或决卷与行动需要注意,对于攻击者代价大于可能收获的情况, 比如加密算法尽管可破,但需 要耗费破解者大量计算资源

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论