1 引言

识别和控制机构面临的风险的过程称为风险管理。这个过程有两个主要任务：风险识别和风险控制。第一个任务即风险识别，是指检查和说明机构信息技术的安全态势和机构面临的风险。风险评估就是说明风险识别的结果。第二个主要任务是风险控制，是指采取控制手段，减少机构数据和OA信息系统的风险。风险管理的各个组成部分及其关系如图4-1所示。

作为一名积极的信息安全专业人员，在风险管理中要扮演一个非常重要的角色。考虑到各个利益团体，机构的日常管理必须构造IT和信息安全功能，对机构的信息资产进行有效的保护。这些资产包括信息和数据、硬件、软件、程序以及人员。汀团体必须满足各种机构的信息技术需求，同时在专业技能与信息安全之间找到平衡点。信息安全工作组在与其他利益团体工作时，必须通过专门技术和专业技巧灵活地平衡信息系统的有效性及安全性。

在信息技术的早期阶段，公司使用IT系统主要是为了获得竞争的绝对优势。建立有竞争力的电子商务模型、方法或技术，机构就可以生产出出众的产品或服务，获得竞争优势。当所有的竞争对手都达到了某种程度的自动化时，这种早期的模型就不再适用了。现在所有的机构都很容易获得IT，所以竞争对手能很快适应市场的变化。在这种竞争非常激烈的环境下，机构不能期望采用新技术，来获得胜过他人的竞争优势，因此产生了竞争劣势的概念：避免在竞争中被淘汰。获得IT有效支持的机构能很快吸收新兴技术，但这不是为了获得或维持竞争优势，而是避免因无法维持目前市场需要的快速响应服务而损失市场份额。

为了不在竞争中被淘汰，机构必须设计和创建B2B商务过程和规程能发挥作用的安全环境。这些环境必须非常机密和隐蔽，并确保机构数据的完整性。这些目标可以通过应用风险管理的原则来达到。

风险管理是指找出机构信息系统中的漏洞，采取适当的步骤，确保机构信息系统中所有组成部分的机密性、完整性和有效性。第1章介绍了C．I．A．三特性中的三个要素，它们是每个IT机构具备长期竞争力的重要组成部分。当机构依赖可行的基于汀的系统时，信息安全和风险管理的规则就脱出理论讨论的范畴，成为商业决策的经济基础的一个重要组成部分。这些决策根据应用信息系统控制的成本和采用安全有效的系统的收益之比来作出。

本章介绍各种控制方法，讨论这些控制方法的分类，理解控制过程及其细节。最后说明如何在现代IT机构中进行有效的控制。

4．2风险管理概述

2400年前中国的军事家孙子所讲的一段话对今天的信息安全而言是十分合适的。

“知己知彼，百战不殆。知己而不知彼，即便获得胜利也损失惨重。既不知己又不知彼，每仗必败。”

思考一下信息安全与战争的相似之处。信息安全的管理人员和技术人员是信息的保卫者。防御措施的建立是有层次的，即一种防御措施的外面再加一层防御。必须针对攻击反复进行预防、保护、侦察和恢复。而且，机构只进行合法的防御，不会转变为进攻，而进攻者并不需要在防御方面耗费资源。所以，为了取得胜利，必须知己知彼。

2.1 知己

首先，必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。要想保护资产，就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。资产在这里是信息及使用、存储和传输这些信息的系统。一旦知道自己拥有的资产，就可以判断已经为保护它们做了些什么。只对资产的保护进行控制，并不一定意味着资产已经得到了很好的保护。机构往往建立了控制机制，但忽视了必要的定期检查、修订和维护。每一项政策、教育和培训计划，以及保护信息的技术手段，都必须仔细地维护和管理，以确保它们始终有效。

2．2 知彼

要熟悉机构的资产及漏洞，必须理解孙子所言的第二个方面：知彼，这意味着识别、检查并熟悉机构面临的威胁。必须确定出对机构和机构信息资产的安全影响最直接的威胁。然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级列表。

2．3 利益团体的作用

机构中的每一个利益团体都有责任管理机构面临的风险。每一个利益团体扮演的角色如引所述。

1。信息安全

因为信息安全团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。

2．管理人员及用户

管理人员和用户经过适当的培训，会对机构面临的威胁有清醒的认识，在早期的检测和响应阶段起一定作用。管理人员必须确保给信息安全和信息技术团体分配充足的资源(经费和人员)，以满足机构的安全需求。用户使用供应链管理系统和数据，因此必须理解这些信息资产对机构的价值，知道哪些资产的价值最高。

3．信息技术

利益团体必须建立安全的系统，并且安全地操作这些系统。例如，IT操作应进行合理的备份，以避免硬盘故障引起的风险。在风险管理过程中，汀团体可以评估管理的价值和威胁。

所有的利益团体必须共同努力，来防止各种等级的风险，包括从毁坏整个机构的灾难到员工犯下的最小的错误。这3个利益团体对下列情况同样负有责任：

●评估风险控制
● 决定机构选择哪一种控制的成本效益比最高
● 获得或安装所需要的控制
● 通过检查保持控制的有效性

这3个利益团体对管理进行定期的检查是至关重要的。管理检查的第一个焦点是资产清单。管理人员必须定期检查资产清单的完整性和准确性。另外，机构必须检查和核实危及资产清单的威胁和漏洞，以及当前的控制和防御策略。也应该检查每一控制的成本效益比，反复讨论控制部署决策。此外，所有层次的管理人员必须定期核实已部署的每一种控制的效率。例如，销售经理为了评估控制规程，在上班前对销售部的办公室进行了仔细的检查，将所有办公桌上的文件都收了起来。当工作人员来上班时，经理告诉他们刚刚发生了火灾，所有文件都被烧毁了。现在，每一名工作人员必须按照灾难恢复规程，对该计划的效能进行评估，并提出修改建议。