本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络安全风险响应
对正面和负面风险的响应截然不同。对于负面风险,您可以采取措施将对结果造成的影响降至最低,但是对于正面风险,则应采取措施最大限度地提高对结果的影响。下表显示了对正面和负面风险的潜在响应。
| 风险类型 | 响应 | 定义 |
|---|---|---|
| 正面风险 | 漏洞利用 | 最大限度地提高风险发生的概率或可能性,以实现其正面影响。 |
| 共享 | 将风险的部分所有权或责任分配给另一方。这与应对负面风险的方法相同,旨在试图控制潜在的损失或收益。 | |
| 增强 | 增加产生风险的条件,以最大限度地利用机会。 | |
| 忽略 | 忽略风险的可能性,不采取任何行动。这种响应常见于风险发生的概率非常低或潜在正面成果的收益微乎其微的情况下。 | |
| 负面风险 | 减轻 | 将风险发生的概率或可能性降至最低。 |
| 转移 | 将风险的责任或义务转移给另一方,例如购买保险单,来将风险转移给保险公司。 | |
| 避免 | 消除造成风险的条件。 | |
| 接受 | 承认风险的存在,但不采取任何行动。 |
对于负面风险,组织根据其风险承受能力和偏好来避免、转移、减轻或接受风险。他们努力防止风险的发生,如果风险发生,他们会尽量减少风险对整体任务的影响。
说明积极的风险响应的最好方法是举例说明:
-
发掘 — 一位安全主管得知,一位颇有资质的安全专业人员最近决定寻找新的工作,于是安排了丰厚的签约奖金,以吸引潜在员工加入他的团队。
-
共享 — 某业务部门负责人希望通过使用某个需特许访问的管理产品来提高安全性,但没有足够的预算在本财政年度购买工具和服务。于是领导者与来自不同业务部门的领导者合作,后者将购买和实施该工具作为试点,然后扩展安装范围以支持两个业务部门。
-
增强 — 一名员工发现了实现现有业务流程自动化以减少网络安全威胁的机会,但这需要投入时间,并购置设备。看到这种流程的正面收益,经理为他批准了加班工时以针对这一能力加以开发,并重新利用现有的硬件和软件资源,使项目得以继续进行。
-
忽略 — 一位财务主管得知,销售部门的一名员工开发了一种新的应用程序,可以自动执行繁琐的手动任务。该应用程序最近获准仅在销售部门使用。财务主管在未经明确授权的情况下获得了新应用程序的副本,以在其部门中获得类似的优势。
