微软安全风险管理指南V1.0深圳大成天下信息技术有限公司ShenZhenUnnooInformationTech.,Inc.二〇〇五年一月文档信息文档名称微软安全风险管理指南保密级别文档版本编号V1.0制作人制作日期复审人复审日期适用范围本文件是从微软网页上摘录成doc,方便读者阅读。分发控制编号读者文档权限与文档的主要关系1大成科技项目组创建、修改、读取项目组成员,负责编制、修改、审核本文件2王娟批准项目的负责人,负责本文档的批准程序3吴鲁加标准化审核项目标准化负责人,对文档进行标准化审核版本控制时间版本说明修改人V1.0文档创建原文档参见:概述客户在尝试实施安全风险管理计划时,可能会觉得不知所措。原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户,Microsoft编写了《安全风险管理指南》。本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶段,以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。本指南不考虑技术因素,并参考了许多关于安全风险管理的行业认可标准。它是Microsoft承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结构之安全的一个重要示例。本指南结合了来自MicrosoftIT的实际经验,也包括了由Microsoft客户及合作伙伴所提供的资料。本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在上的SecurityGuidanceCenter中找到。有关本指南的反馈或问题,请发邮件到secwish@microsoft.com。本指南包括六章和四个附录。2.安全风险管理指南介绍2.1.摘要2.1.1.环境挑战大多数组织都认识到信息技术(IT)在支持其业务目标中扮演的关键角色。但如今高度连接的IT基础结构存在于一个敌对性不断增加的环境中-攻击的频率越来越高,而要求的反应时间越来越短。通常,组织不能够在其业务受到影响之前对新的安全威胁采取应对措施。管理基础结构的安全性,以及这些基础结构提供的业务价值,已经成为IT部门的首要关注事项。此外,因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效地管理他们的IT基础结构。很多政府机构和与这些机构没有联系的组织被法律强制要求至少维持一种最低程度的安全监督。未能前瞻性地管理安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。2.1.2.一种较好的方法Microsoft的安全风险管理方法提供了一种前瞻性的方法,可帮助各种规模的组织响应他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让企业能够以最具有成本效益的方式运行,并且使已知的业务风险维持在可接受的水平。它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。在您采用适当的、具有成本效益的控制措施将风险降低到可接受水平时,您将认识到使用安全风险管理的好处。可接受风险的定义以及管理风险的方法,因各个组织而异。没有正确或错误的答案,目前有许多风险管理模型在使用之中。每个模型均具有平衡准确性、资源、时间、复杂性和主观性的平衡点。投资于具有固定框架和明确角色和职责的风险管理流程,使组织可以确定优先级,规划以缓解威胁,以及解决业务面临的下一个威胁或漏洞。此外,有效的风险管理计划将帮助公司在满足新的法律要求方面举得明显的进步。2.1.3.Microsoft在安全风险管理中的角色这是Microsoft出版的第一部完全集中论述安全风险管理的说明性指南。以Microsoft自己及其客户的经验为基础,本指南在制定过程中经过客户、合作伙伴、技术审核者的测试与审核。其目的是对如何实施安全风险管理流程提供一个明确的可操作指南。这样做有很多好处,其中包括:•使客户采取前瞻性安全方法,从被动的令人灰心丧气的流程中解放出来。•通过显示安全项目的价值来衡量安全。•帮助客户有效地缓解环境中的最主要的风险而不是将保贵的资源用于解决所有可能的风险。2.1.4.指南概述本指南采用行业标准,在一个循环的四阶段流程中提供已建立的风险管理模型的混合体,从而在成本和效益之间寻求平衡。在风险评估流程中,定性步骤迅速地确定最重要的风险。一个以详细定义的角色和职责为基础的量化流程。本方法非常详细,并得出对最重要风险的充分了解。风险评估流程中的定性和定量步骤共同提供一个基础,让您可以按照智能业务流程做出关于风险和缓解措施的可靠决策。注:如果本摘要中讨论的某些概念对您而言是新概念,请不要担心;后续章节中将有详细说明。例如,第2章“安全风险管理实践调查”说明风险评估的定性方法与定量方法之间的区别。Microsoft安全风险管理流程使组织可以实施和维护确定IT环境中的风险并确定优先级的流程。使客户从被动关注转向前瞻性关注,从根本上改善客户环境的安全。反过来,改善的安全有助于提高IT基础结构的可用性,有助于增加业务价值。Microsoft安全风险管理流程将各种方法综合起来,包括纯粹的定量分析、安全投资收益(ROSI)分析、定性分析和最佳做法。请注意,本指南讲述流程,没有具体的技术要求。2.1.5.成功的关键因素在整个组织内成功实施安全风险管理计划有很多重要的成功因素。这些因素中有一部分尤其至关重要,并将在此处介绍;另外一些在本章“成功的关键”一节中讨论。首先,如果没有管理层的支持与承诺,安全风险管理必将失败。当从最高层开始实行安全风险管理时,组织可以根据对企业的价值来确定安全。其次,角色和职责的明确定义是成功的基石。企业所有者负责确定风险的影响。他们也处在确定发挥其功能所必须的资产的业务价值的最佳位置。信息安全组负责通过考虑当前实施的提议的控制措施确定风险发生的可能性。当利用可能性表示风险不可接受时,信息技术组负责实施安全筹划指导委员会选择的控制措施。2.1.6.后续步骤投资于具有可实现的固定流程以及明确角色和职责的风险管理计划,使组织可以确定优先级,规划以缓解威胁,以及解决至关重要的业务威胁或漏洞。使用本指南来评估您是否准备好并提升您的安全风险管理能力。如果您需要更多帮助,请联系Microsoft客户服务部或Microsoft服务合作伙伴。2.2.本指南的目标读者本指南主要面向负责进行跨平台规划应用或基础结构开发与部署的顾问、安全专家、系统设计师和IT专业人士。这些角色包括负责以下工作的人:•负责推动组织的体系结构工作的设计和规划人员•专门在组织内提供跨平台安全性的信息安全组成员•负责确保组织采取了适当的预防措施来保护其重要企业资产的安全和IT审核者•具有关键业务目标和需求,需要IT的高级管理人员、业务分析人员和业务决策者(BDM)•需要企业客户和合作伙伴的知识传送工具的顾问和合作伙伴2.3.指南的适用范围本指南专注于如何在各种规模和类型的组织中规划、建立和维护一个成功的安全风险管理流程。资料解释如何进行风险管理计划的各个阶段,以及如何将项目转换为一个持续流程,推动组织实施符合成本效益的最有效控制措施来缓解安全风险。2.3.1.内容概述《安全风险管理指南》包含六章,以下进行简要介绍。每章介绍在组织中有效启动和运行一个持续安全风险管理流程所需的循环实践方法。在这些章节之后是有助于组织安全风险管理计划的附录与工具。2.3.1.1.第1章:安全风险管理指南介绍此章介绍本指南并简短地概述后续各章。2.3.1.2.第2章:安全风险管理实践调查通过审核组织过去进行安全风险管理的方法为Microsoft安全风险管理流程奠定一个基础非常重要。已经精通安全风险管理的读者可能希望快速浏览本章;鼓励对安全或风险管理相对不熟悉的其他人精读本章。此章一开始回顾风险管理的前瞻性方法和反应性方法的优点与缺点,然后详细回顾第1章“安全风险管理指南介绍”,介绍有组织的风险管理的完善程度。最后,此章评估和比较两个传统方法:定性风险管理和定量风险管理。此流程是一种在这些方法之间提供平衡的备选方法,经证明,Microsoft采用该流程获得了一个极为有效的流程。2.3.1.3.第3章:安全风险管理概述此章更详细地介绍了Microsoft安全风险管理流程,并介绍了一些重要概念及成功关键。此章还提供了有关如何通过使用有效的规划并建立具有清晰定义的角色和职责的强大安全风险管理小组准备流程的建议。2.3.1.4.第4章:评估风险此章详细介绍Microsoft安全风险管理流程的评估风险阶段。此阶段中的步骤包括规划、加速数据收集和确定风险优先级。风险评估流程包含多个任务,其中某些任务对大组织而言很苛求。例如,识别和确定企业资产的价值需要很多时间。确定威胁和漏洞等其他任务需要大量的技术专家。与这些任务相关的挑战说明了正确规划和建立坚实的安全风险管理小组的重要性,如第3章“安全风险管理概述”所强调的。在确定汇总风险优先级期间,安全风险管理小组使用一种定性方法来类选安全风险的完整列表,从而使小组可以快速确定最重要的风险以进行进一步的分析。然后用定量技术来详细分析顶级风险。结果是一份最重要风险的简短列表,具有详细的资料,小组可在流程的下一阶段中用这些资料来做出明智的决策。2.3.1.5.第5章:实施决策支持在流程的实施决策支持阶段期间,安全风险管理小组确定如何以最有效最经济的方式解决关键风险。小组确定控制措施,确定与购买、实施和支持各个控制措施有关的成本,评估各个控制措施实现的风险降低程度,配合安全筹划指导委员会确定要实施的控制措施。最终结果是一个清晰且可操作的计划,控制或接受在评估风险阶段确定的顶级风险。2.3.1.6.第6章:实施控制和评定计划有效性此章解释Microsoft安全风险管理流程的最后两个阶段:实施控制和评定计划有效性。顾名思义,在“实施控制”阶段中:缓解方案所有者根据在决策支持流程中产生的控制解决方案列表制定并执行计划,以降低在评估风险阶段中确定的风险。此章提供了说明性指导的链接,在组织的缓解方案所有者解决各种风险时可能有所帮助。评定计划有效性阶段是一个持续进行的流程,在这个阶段中,安全风险管理小组定期验证在之前阶段中实施的控制确实提供了预期程度的保护。此阶段的另一个步骤是预测组织在安全风险管理方面的整体进度。本章介绍了“安全风险记分卡”的概念,可用它来追踪组织的实施状况。最后,本章还解释了观察计算环境变化的重要性,如系统和应用程序的添加和删除,或者新威胁和漏洞的出现。三种类型的变化可能要求组织立即采取行动以针对新的或改变的风险对自身提供保护。2.3.1.7.附录A:特别风险评估此附录将正式的企业风险评估流程与很多组织采用的特别方法进行比较。它突出各个方法的优点和缺点,并建议在什么情况下使用什么方法。2.3.1.8.附录B:常见信息系统资产此附录列出各种类型的组织中常见的信息系统资产。它并不追求全面性,也不会列出在一个组织的独特环境中所具备的全部资产。因此,在风险评估流程中定制此列表非常重要。它作为参考列表和开始点提供,以帮助贵组织着手进行。2.3.1.9.附录C:常见威胁本附录列出了可能影响许多组织的威胁。此列表并不全面,而且因为它是静态的,所以并不是最新的。因此,在项目的评估阶段需要删除与贵组织不相关的威胁并添加新确定的威胁,这点很重要。它作为参考列表和开始点提供,以帮助贵组织着手进行。2.3.1.10.附录D:漏洞本附录列出了可能影响许多组织的漏洞。此列表并不全面,而且因为它是静态的,所以并不是最新的。因此,在风险评估阶段需要删除与贵组织不相关的漏洞并添加新确定的漏洞,这点很重要。它作为参考列表和开始点提供,以帮助贵组织着手进行。2.3.2.工具和模板本指南随附了一组工具和模板,帮助组织实施Microsoft安全风险管理流程。