1.選擇安全控制措施
為了降低或消除信息安全體系範圍內所涉及到的被評估的風險,企業應該識別和選擇合適的安全控制措施。選擇安全控制措施應該以風險評估的結果作為依據,判斷與威脅相關的薄弱點,決定什麽地方需要保護,采取何種保護手段。
安全控制選擇的另外壹個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高,那麽所建議的控制措施就是不合適的。如果控制措施的費用比企業的安全預算還要高,則也是不合適的。但是,如果預算不足以提供足夠數量和質量的控制措施,從而導致不必要的風險,則應該對其進行關註。
通常,壹個控制措施能夠實現多個功能,功能越多越好。當考慮總體安全性時,應該考慮盡可能地保持各個功能之間地平衡,這有助於總體安全有效性和效率。
2.風險控制
根據控制措施的費用應當與風險相平衡的原則,企業應該對所選擇的安全控制措施應該嚴格實施以及應用,達到降低風險的途徑有很多種,下面是常用的集中手段:
1)避免風險:比如將重要的計算機系統與因特網進行物理隔離
2)轉移風險:比如將重要的數據進行異地網絡備份
3)減少威脅:比如組織具有惡意的軟件的執行,避免遭到攻擊
4)減少薄弱點:比如對員工進行信息安全教育,提高員工的安全意識
5)進行安全監控:比如及時探測對信息處理設施有害的行為,並及時作出響應
3.可接受風險
信息系統總會在壹定程度上存在風險,絕對的安全是不存在的。當企業根據風險評估的結構,完成實施所選擇的控制措施後,會有殘余的風險。殘余風險可能是企業可以接受的風險,也可能是遺漏了某些信息資產,使其未受保護。為確保企業的信息安全,殘余風險應該控制在可以接受的範圍內。
殘余風險Rr = 原有風險Ro - 控制風險Rx
殘余風險Rr < = 可接受風險 Rt
風險接受是對殘余風險進行確認和評價的過程。在實施了安全控制措施後,企業應該對安全措施的實施情況進行評審,即對所選擇的控制在多大程度上降低了風險做出判斷。對於殘留的仍然無法容忍的風險,應該考慮增加投資。
風險是隨時間而變化的,風險管理是壹個動態的管理過程,這就要求企業實施動態的風險評估與風險控制,即企業要定期進行風險評估。壹般而言,當出現以下情況時,應該重新進行風險評估:
◇ 當企業新增信息資產時
◇ 當系統發生重大變更時
◇ 發生嚴重信息安全事故時
◇ 企業認為非常必要時