微软安全风险管理指南V1.0深圳大成天下信息技术有限公司ShenZhenUnnooInformationTech.,Inc.CREATEDATE\@"EEEE年O月"\*MERGEFORMAT二〇〇五年一月未知驱动探索专注成就专业大成天下信息技术有限公司(Unnoo.com)文档标题第页共NUMPAGES123页方案联系人：吴鲁加(13510306150)最后修订：DOCPROPERTYLastSavedTime3/16/20108:17文档信息文档名称微软安全风险管理指南保密级别文档版本编号V1.0制作人制作日期复审人复审日期适用范围本文件是从微软网页上摘录成doc，方便读者阅读。分发控制编号读者文档权限与文档的主要关系1大成科技项目组创建、修改、读取项目组成员，负责编制、修改、审核本文件2王娟批准项目的负责人，负责本文档的批准程序3吴鲁加标准化审核项目标准化负责人，对文档进行标准化审核版本控制时间版本说明修改人V1.0文档创建原文档参见：HYPERLINK"http://www.microsoft.com/china/technet/security/guidance/secrisk/default.mspx"http://www.microsoft.com/china/technet/security/guidance/secrisk/default.mspx概述客户在尝试实施安全风险管理计划时，可能会觉得不知所措。原因可能在于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了帮助这些客户，Microsoft编写了《安全风险管理指南》。本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。本指南说明如何在四阶段流程（在下文中描述）中实施风险管理计划中的各个阶段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。本指南不考虑技术因素，并参考了许多关于安全风险管理的行业认可标准。它是Microsoft承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结构之安全的一个重要示例。本指南结合了来自MicrosoftIT的实际经验，也包括了由Microsoft客户及合作伙伴所提供的资料。本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题可在HYPERLINK"http://www.microsoft.com/china/technet/security/guidance"www.microsoft.com/china/technet/security/guidance上的SecurityGuidanceCenter中找到。有关本指南的反馈或问题，请发邮件到HYPERLINK"mailto:secwish@microsoft.com?subject=Microsoft%20Identity%20and%20Access%20Management%20Series"secwish@microsoft.com。本指南包括六章和四个附录。安全风险管理指南介绍摘要环境挑战大多数组织都认识到信息技术(IT)在支持其业务目标中扮演的关键角色。但如今高度连接的IT基础结构存在于一个敌对性不断增加的环境中-攻击的频率越来越高，而要求的反应时间越来越短。通常，组织不能够在其业务受到影响之前对新的安全威胁采取应对措施。管理基础结构的安全性，以及这些基础结构提供的业务价值，已经成为IT部门的首要关注事项。此外，因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加严密且有效地管理他们的IT基础结构。很多政府机构和与这些机构没有联系的组织被法律强制要求至少维持一种最低程度的安全监督。未能前瞻性地管理安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。一种较好的方法Microsoft的安全风险管理方法提供了一种前瞻性的方法，可帮助各种规模的组织响应他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让企业能够以最具有成本效益的方式运行，并且使已知的业务风险维持在可接受的水平。它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。在您采用适当的、具有成本效益的控制措施将风险降低到可接受水平时，您将认识到使用安全风险管理的好处。可接受风险的定义以及管理风险的方法，因各个组织而异。没有正确或错误的答案，目前有许多风险管理模型在使用之中。每个模型均具有平衡准确性、资源、时间、复杂性和主观性的平衡点。投资于具有固定框架和明确角色和职责的风险管理流程，使组织可以确定优先级，规划以缓解威胁，以及解决业务面