在处理风险时,可遵循以下步骤,旨在解决最大的风险,以最小的成本来将风险控制在可接受的水平,同时使风险对其他使命能力的影响降至最小。
(1)步骤1 对优先级进行排序。基于在风险评估结果报告中提出的风险级别,对风险处置的工作进行优先级排序。高等级(如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。
步骤1的输出:从高优先级到低优先级的行动。
(2)步骤2 评估所建议的安全措施。风险评估过程中建议的安全措施对于具体的单位及其信息系统可能不是最适合和最可行的。在该步骤中,要对所建议的安全措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险控制的级别)进行分析,旨在选择出最适当的安全措施,使风险降至最低。
步骤2输出:可行安全措施的列表。
(3)步骤3 实施成本效益分析。为了使管理层做出决策,并找出成本有效性最好的安全措施,要实施成本分析。
步骤3输出:成本效益分析的结果,判断实现或拒绝一个安全措施时的成本和效益。
(4)步骤4 选择安全措施。在成本效益分析的基础上,选择成本有效性最好的安全措施来降低单位的风险。
步骤4输出:所选择的安全措施。
(5)步骤5 分配责任和任务。遴选出拥有合适的专长和技能,可实现所选安全措施的人员(包括单位内部的人员或外部服务商/集成商),并赋以相应责任。
步骤5输出:责任和任务人员清单
(6)步骤6 制订安全措施的实现计划。在本步骤中将制订安全措施的实现计划。该计划应该至少包括下列信息:
1)风险(脆弱性/威胁对)和相关的风险级别(风险评估报告的输出)。(www.xing528.com)
2)所建议的安全措施(风险评估报告的输出)。
3)优先的行动(将高优先级赋予“非常高”或“高”风险级的项目)。
4)所选择的预期安全措施(基于可行性、有效性、机构的收益和成本来决定)。
5)实现预期安全措施时所需的资源。
6)负责小组和人员清单。
7)开始日期。
8)目标完成日期。
9)维护要求。
步骤6输出:安全措施的实现计划。
(7)步骤7 实现所选择的安全措施。根据责任和任务分配,调动资源实现所选择的安全措施,但安全措施实施后仍然存在的风险为残余风险。
步骤7输出:残余风险清单。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
