进入2007年之后，许多人在谈论是购买股票呢？还是购买房产。然而，许多企业却开始注意自己的信息安全风险。制定安全风险管理流程将是许多企业在 2007 年采取的最重要举措。原因何在？如果不实施正确的安全风险流程，企业的所有的业务活动均可能会受到恶意威胁、配置错误以及大量漏洞的影响。对于法规遵从要求而言，也面临同样的风险，这就要求企业必须对管理重要的企业及客户数据的访问和使用流程保持强有力的控制。

　　安全风险管理可以为企业提供必要的流程来提高安全性和法规遵从性。安全风险管理的实施离不开CIO、IT 操作人员、网络安全人员及业务主管人员的通力协作。若要有效实施安全风险管理，需认识到企业无法以同样的方式和同样的紧急程度来响应每一个潜在的威胁或漏洞攻击。利益相关者必须确定哪些是最重要的资产，然后确定它们的优先级。有些系统和应用程序更容易暴露在风险之中，而IT部门无法独自确定企业可承受的风险等级。因此，IT 和业务管理人员需要通力合作来帮助企业确定资产优先级和最大限度地降低风险。

　　曾几何时，让业务主管人员坐下来制定安全风险管理计划是一件很难的事情。他们将 IT 部门看作一个负责安装和维护计算机的成本中心，却没有意识到IT部门在保护那些对他们开展业务（从进行销售到控制预算）至关重要的数据时所发挥的作用。然而，这一切在近年来已经发生了变化。业务管理人员现在越来越关注那些针对其机密信息和公司系统的无休止的威胁。他们也进一步意识到了违反法规的严重后果 — 负面宣传、受到处罚和损害股东的利益。

　　正如 IT 部门需要业务管理人员的支持一样，业务管理人员也想听取IT部门的意见，以了解如何才能有效地部署既能定义又能执行这些策略的工具。他们希望 IT 部门能带头实施确保企业安全合法的流程。这些转变令IT人员异常兴奋，因为他们现已被视为实现企业目标的重要一份子。然而，支持成功实施 安全风险管理 所必需的文化转变则是一个巨大的飞跃。它不仅需要 IT 部门和业务管理人员的合作来确定资产优先级，还需要加强 IT 操作人员与安全工作人员之间的交流。此外，它还需要改善通常独立工作并使用完全不同安全产品的团队之间的技术整合。

　　如果能够应对这些挑战，企业就能够获得巨大收益。包括管理层在内的每一个人都能更清晰地了解企业所面临的风险状况以及法规遵从情况。借助清晰定义的安全风险管理方法（包括安全防护和法规遵从指标），企业可以前瞻性地采取措施应对风险，而不是被动挨打。企业完全没有必要专门配置人员来匆忙应对每个新的威胁或漏洞。通过采用 安全风险管理 方法，企业不仅能够确保其关键系统不会瘫痪，还能够确保其企业及客户数据始终得到保护。

　　安全风险管理使企业能够将其资源集中到战略规划上，并在市场中获得竞争优势。当然，企业必须不断监控和衡量为应对风险而制定的 安全风险管理 流程。意识到 安全风险管理 的重要性的企业同样会意识到，能够报告流程、衡量这些流程的有效性以及明确哪些方面得到了改善也十分重要。同样，企业还会意识到一个旨在满足安全及法规遵从要求的综合解决方案可以帮助它们改善资源管理、降低成本和节省时间。

　　很少有厂商能够提供全面的安全风险管理方法。迈克菲（McAfee）在通过一个流程来帮助企业管理其安全及法规遵从性方面一直处于领先地位。McAfee 提供了一套协同工作的工具，以帮助企业制定资产保护策略并根据漏洞及威胁评估实际的风险等级。此外，McAfee 还可以帮助企业获得适当级别的保护，避免预算超支。

　　这种方法的先进之处在于安全风险管理方法，该方法能够保护您的企业免受会对重要 IT 系统和操作过程造成重大破坏的最严重威胁的侵扰。安全风险管理可以帮助您的组织理解其资产并分析必须弥补的漏洞。安全风险管理还为内、外部法规遵从性计划提供了便利。它能使您的组织实施与客户数据集成、企业应用程序和数据库配置以及财务报告准确性相关的策略。

　　从管理安全性过渡到管理风险需要IT 组织摒弃其固有观念，改变以往使用点解决方案对每一种新威胁进行响应的做法。McAfee 认为“安全风险管理是一个过程而非一个产品。”安全风险管理同样涉及管理和评估。它消除了分隔安全性计划和法规遵从性计划的壁垒，并认识到合作的过程可以确保组织安全和遵循法规。

　　在其新的角色中，IT 被赋予了制定符合企业自身逻辑（即，将风险最小化、将业务优势最大化）的决策的权力。一位电子商务供应商可能会将客户数据库置于其“必须保护的资产”清单的顶端，因为违反这类数据将动摇客户的信心。而另一家公司可能将该优先权给予其订单处理系统，这种做法是出于这样的考虑：如果公司遭受漏洞攻击，其客户将转向其他商家 ，甚至可能就此一去不复返。

　　考虑到大型企业的巨大花费，特别是，解释和创建法规遵从性政策时的不菲费用，让企业能够根据基准来检查性能就越发重要了。在一些小型的、私有的企业中，与其规模相比，法规遵从性需求可能是一种不小的负担。这是一个充斥着风险，但有人管理的世界。如同有选择热门股的诀窍的投资者一样，通过实现效率与效益的平衡来保护其业务优势，现在能够承受 安全风险管理 挑战的 IT 操作和安全专业人士将得到巨大收获。
安全风险管理是一个流程而非一个产品

创建时间：2007-4-3   点击次数：6

2007年，许多企业却开始注意自己的信息安全风险。制定安全风险管理流程成为许多企业在 2007 年采取的最重要举措。这是因为如果不实施正确的安全风险流程，企业的所有的业务活动均可能会受到恶意威胁、配置错误以及大量漏洞的影响。

　　对于法规遵从要求而言，也面临同样的风险，这就要求企业必须对管理重要的企业及客户数据的访问和使用流程保持强有力的控制。

　　由于企业缺少可同时管理安全和法规遵从风险的方法，使得企业无法站在风险的角度来审视自己的安全系统，有可能导致“头痛医头，脚痛医脚”的事情发生。结果是企业购买了许多的安全产品，包括防病毒、IDS、防火墙等，却仍然无法改变现有的安全状况，甚至有可能还会更差。迈克菲（McAfee）日前提出了安全风险管理的概念。迈克菲认为，风险管理是一个方法论，利用这个方法论可以指导企业构建适合自身业务需求的安全系统，而非安全产品的堆叠。根据当今威胁的发展趋势，迈克菲认为企业需要安全风险管理的时机已经成熟，以下五个因素使得企业需要考虑采用安全风险管理方法论，来重新部署自己的安全系统：

　　安全人员需要评定风险的优先级，减轻威胁

　　企业必须要跟上不断变化的规章制度的步伐，并实施法规遵从

　　管理者需要通过内部和外部的控制台了解企业法规遵从情况

　　企业需要帮助执行一致的、适合的流程以改进法规遵从审核

　　IT 运营部门需要将产品和流程整合在一起，以提高管理安全和法规遵从的效率

　　如果能够成功地应对以上这些挑战，企业就能够获得巨大收益，包括管理层在内的每一个人都能更清晰地了解企业所面临的风险状况以及法规遵从情况。借助清晰定义的安全风险管理方法（包括安全防护和法规遵从指标），企业可以前瞻性地采取措施应对风险，而不是被动挨打。迈克菲认为，企业完全没有必要专门配置人员来匆忙应对每个新的威胁或漏洞。通过采用安全风险管理方法，企业不仅能够确保其关键系统不会瘫痪，还能够确保其企业及客户数据始终得到保护。

迈克菲通过一个安全风险管理流程来帮助企业管理其安全系统和法规遵从。这是一套协同工作的工具，可以帮助企业制定资产保护策略并根据漏洞及威胁评估实际的风险等级。此外，迈克菲还可以帮助企业获得适当级别的保护，避免预算超支。这种方法的优势在于安全风险管理方法能够保护企业免受会对重要IT系统和操作过程造成重大破坏的最严重威胁。安全风险管理可以帮助企业组织理解其资产，并分析必须弥补的漏洞。安全风险管理还为内、外部法规遵从性计划提供了便利，并使企业组织实施与客户数据集成、企业应用程序和数据库配置以及财务报告准确性相关的策略。

在安全风险管理流程中，迈克菲将其分为制定政策、评估风险、实施保护和管理法规遵从性四个方面。根据企业用户的需求推出了不同的产品组合，例如在威胁防护产品组合中，企业用户可以利用安全网关抵御滥用、网络钓鱼、垃圾邮件、间谍软件和恶意软件的侵袭，使用 IntruShield网络入侵防护解决方案可以有效地防范网络蠕虫、入侵、VoIP攻击、僵尸网络、DOS/DDOS、P2P/IM，采用 Total Protection 预防应对病毒、蠕虫、垃圾邮件、间谍软件、零时间攻击和主机入侵。另外，利用最新推出的数据丢失防护（DLP）技术，可以有效地帮助企业，保护敏感和核心数据。

　　在不久的将来，迈克菲所倡导的安全风险管理方法论将得到企业的认可，并通过传统的全面防护产品在主机层面和网络层面实现对威胁的评估与防御，结合迈克菲AVERT安全实验室所发布的最新威胁信息和企业内部或外部的策略规范，从企业当前应用各类产品中采集各种风险相关数据，形成量化的风险报告。

　　IT 操作和安全任务中涉及的所有各方都表示他们能够应对新的挑战。在 CIO 的领导下，安全官员和IT操作人员制定新的合作日程，将 IT 作为针对业务资源风险进行计划、确定优先级和管理的重中之重。没有时间来手工发掘流出不同安全和法规遵从性工具的大量信息以确定哪些数据和资产需要优先保护。从管理安全性过渡到管理风险需要IT 组织摒弃其固有观念，改变以往使用单一产品对每一种新威胁进行防护的做法。迈克菲认为安全风险管理是一个流程而非一个产品。安全风险管理同样涉及管理和评估。它消除了分隔安全性计划和法规遵从性计划的壁垒，并认识到合作的过程可以确保组织安全和遵循法规。因此，企业的管理人员或是CSO应该停止管理安全性，而开始着手管理风险。