怎样进行风险控制
风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业的正常业务运作。
1.选择安全控制措施
为了降低或消除信息安全体系范围内所涉及到的被评估的风险,企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据,判断与威胁相关的薄弱点,决定什么地方需要保护,采取何种保护手段。
安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高,那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高,则也是不合适的。但是,如果预算不足以提供足够数量和质量的控制措施,从而导致不必要的风险,则应该对其进行关注。
通常,一个控制措施能够实现多个功能,功能越多越好。当考虑总体安全性时,应该考虑尽可能地保持各个功能之间地平衡,这有助于总体安全有效性和效率。
2.风险控制
根据控制措施的费用应当与风险相平衡的原则,企业应该对所选择的安全控制措施应该严格实施以及应用,达到降低风险的途径有很多种,下面是常用的集中手段:
1)避免风险:比如将重要的计算机系统与因特网进行物理隔离
2)转移风险:比如将重要的数据进行异地网络备份
3)减少威胁:比如组织具有恶意的软件的执行,避免遭到攻击
4)减少薄弱点:比如对员工进行信息安全教育,提高员工的安全意识
5)进行安全监控:比如及时探测对信息处理设施有害的行为,并及时作出响应
3.可接受风险
信息系统总会在一定程度上存在风险,绝对的安全是不存在的。当企业根据风险评估的结构,完成实施所选择的控制措施后,会有残余的风险。残余风险可能是企业可以接受的风险,也可能是遗漏了某些信息资产,使其未受保护。为确保企业的信息安全,残余风险应该控制在可以接受的范围内。
残余风险Rr = 原有风险Ro —— 控制风险Rx
残余风险Rr < = 可接受风险 Rt
风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后,企业应该对安全措施的实施情况进行评审,即对所选择的控制在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险,应该考虑增加投资。
风险是随时间而变化的,风险管理是一个动态的管理过程,这就要求企业实施动态的风险评估与风险控制,即企业要定期进行风险评估。一般而言,当出现以下情况时,应该重新进行风险评估:
当企业新增信息资产时,
当系统发生重大变更时,
发生严重信息安全事故时,
企业认为非常必要时。
-
商业银行企业财务顾问业务发展
商业银行企业财务顾问业务,是指商业银行根据客户的自身需求,站在客户的角度,利用公司的产品和服务及其他社会资源,为客户的日常经营管理、财务管理和对外资本运作等经济活动进行财务策划和方案设计;为企业提供全方位的企业财务顾问和管理咨询服务。企业财务顾问业...
-
作为一名UI设计设必须做到的几点
1.简易性。界面的简洁是要让用户便于使用、便于了解、并能减少用户发生错误选择的可能性。2.用户的语言。界面中要使用能反应用户本身的语言,而不是开发设计者的语言。3.记忆负担最小化。人脑不是电脑,在设计界面时必须要考虑人类大脑处理信息的限度。人类的短期...
-
会计专业的素质和应该学习什么知识
会计并不是大家想象的记记账那样简单。那么,会计学专业到底学什么知识?学生应该具备什么样的素质呢?有借必有贷,借贷必相等,资产是负债与所有者权益之和。一说起会计学,很多人都会自然地想起这些会计等式。会计专业人才无处不在,无处不有,会计更是各用人单位必不可少的...
-
如何做PHP程序员自我介绍
所谓的PHP程序员,也就是使用PHP做为开发语言的专业程序员。而且企业为了提高开发效率,现在的很多科技中的工作都越来越明确,哪些同时使用多种语言开发的程序员已经成了为PHP的先锋军团。对于刚出道的新人来讲,PHP程序员自我介绍很重要,至于怎么去做,其目的不过就是为...