5、IT风险管理与人员管理全解析

IT风险管理与人员管理全解析

1. 风险分析与处理

1.1 风险分析示例

在进行风险分析时，以公共Web服务器遭受攻击的威胁为例。风险分析师会针对一系列单个威胁确定特定的暴露因子（EF）和年度发生率（ARO）数据。接着，分析师会在理论上应用一系列解决方案，如应用防火墙、入侵预防系统和补丁管理工具等。每个解决方案对EF和ARO都会有特定且独特的影响（当然，这些都是估计值，就像初始条件下EF和ARO的估计一样），有些方案的EF和ARO数据会比其他方案更优。同时，每个解决方案还应从成本（财务估计或高 - 中 - 低）和实施难度（财务或高 - 中 - 低）方面进行评估。

1.2 风险处理的重要性

当通过定性或定量风险分析识别出资产面临的风险后，风险管理的下一步就是决定如何应对这些已识别的风险。在企业环境中，并非所有风险都能得到缓解或消除，因为没有足够的资源来处理所有风险。因此，需要一种策略来选择最佳的解决方案组合，以最大程度地降低风险。通常，将所有风险和解决方案综合考虑，而不是单独处理每个风险，能使风险处理更有效。

1.3 风险处理的方法

风险处理主要有四种方式：
- 风险缓解 ：实施某种解决方案以降低已识别的风险。例如，使用杀毒软件或基于网络的入侵预防系统可以缓解服务器引入恶意软件的风险。组织通常会在进行成本分析后，决定是否实施某种形式的风险缓解措施，以确定风险降低是否值得投入风险缓解成本。
- 风险转移 ：将部分或全部风险转移给外部实体，如保险公司或商业伙伴。例如，组织购买保险政策以保护资产免受损害或损失，保险公司会承