风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业的正常业务运作。
1.选择安全控制措施
为了降低或消除信息安全体系范围内所涉及到的被评估的风险,企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据,判断与威胁相关的薄弱点,决定什么地方需要保护,采取何种保护手段。
安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高,那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高,则也是不合适的。但是,如果预算不足以提供足够数量和质量的控制措施,从而导致不必要的风险,则应该对其进行关注。
通常,一个控制措施能够实现多个功能,功能越多越好。当考虑总体安全性时,应该考虑尽可能地保持各个功能之间地平衡,这有助于总体安全有效性和效率。
2.风险控制
根据控制措施的费用应当与风险相平衡的原则,企业应该对所选择的安全控制措施应该严格实施以及应用,达到降低风险的途径有很多种,下面是常用的集中手段:
1)避免风险:比如将重要的计算机系统与因特网进行物理隔离
2)转移风险:比如将重要的数据进行异地网络备份
3)减少威胁:比如组织具有恶意的软件的执行,避免遭到攻击
4)减少薄弱点:比如对员工进行信息安全教育,提高员工的安全意识
5)进行安全监控:比如及时探测对信息处理设施有害的行为,并及时作出响应
3.可接受风险
信息系统总会在一定程度上存在风险,绝对的安全是不存在的。当企业根据风险评估的结构,完成实施所选择的控制措施后,会有残余的风险。残余风险可能是企业可以接受的风险,也可能是遗漏了某些信息资产,使其未受保护。为确保企业的信息安全,残余风险应该控制在可以接受的范围内。
残余风险Rr = 原有风险Ro —— 控制风险Rx
残余风险Rr < = 可接受风险 Rt
风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后,企业应该对安全措施的实施情况进行评审,即对所选择的控制在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险,应该考虑增加投资。
风险是随时间而变化的,风险管理是一个动态的管理过程,这就要求企业实施动态的风险评估与风险控制,即企业要定期进行风险评估。一般而言,当出现以下情况时,应该重新进行风险评估:
当企业新增信息资产时,
当系统发生重大变更时,
发生严重信息安全事故时,
企业认为非常必要时。
