風險控制就是使風險降低到企業可以接受的程度,當風險發生時,不至於影響企業的正常業務運作。
1.選擇安全控制措施
為了降低或消除資訊保安體系範圍內所涉及到的被評估的風險,企業應該識別和選擇合適的安全控制措施。選擇安全控制措施應該以風險評估的結果作為依據,判斷與威脅相關的薄弱點,決定什麼地方需要保護,採取何種保護手段。
安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高,那麼所建議的控制措施就是不合適的。如果控制措施的費用比企業的安全預算還要高,則也是不合適的。但是,如果預算不足以提供足夠數量和質量的控制措施,從而導致不必要的風險,則應該對其進行關注。
通常,一個控制措施能夠實現多個功能,功能越多越好。當考慮總體安全性時,應該考慮儘可能地保持各個功能之間地平衡,這有助於總體安全有效性和效率。
2.風險控制
根據控制措施的費用應當與風險相平衡的原則,企業應該對所選擇的安全控制措施應該嚴格實施以及應用,達到降低風險的途徑有很多種,下面是常用的集中手段:
1)避免風險:比如將重要的計算機系統與因特網進行物理隔離
2)轉移風險:比如將重要的資料進行異地網路備份
3)減少威脅:比如組織具有惡意的軟體的執行,避免遭到攻擊
4)減少薄弱點:比如對員工進行資訊保安教育,提高員工的安全意識
5)進行安全監控:比如及時探測對資訊處理設施有害的行為,並及時作出響應
3.可接受風險
資訊系統總會在一定程度上存在風險,絕對的安全是不存在的。當企業根據風險評估的結構,完成實施所選擇的控制措施後,會有殘餘的風險。殘餘風險可能是企業可以接受的風險,也可能是遺漏了某些資訊資產,使其未受保護。為確保企業的資訊保安,殘餘風險應該控制在可以接受的範圍內。
殘餘風險Rr = 原有風險Ro —— 控制風險Rx
殘餘風險Rr < = 可接受風險 Rt
風險接受是對殘餘風險進行確認和評價的過程。在實施了安全控制措施後,企業應該對安全措施的實施情況進行評審,即對所選擇的控制在多大程度上降低了風險做出判斷。對於殘留的仍然無法容忍的風險,應該考慮增加投資。
風險是隨時間而變化的,風險管理是一個動態的管理過程,這就要求企業實施動態的風險評估與風險控制,即企業要定期進行風險評估。一般而言,當出現以下情況時,應該重新進行風險評估:
當企業新增資訊資產時,
當系統發生重大變更時,
發生嚴重資訊保安事故時,
企業認為非常必要時。
