信息技术系统的风险管理指南（九）

步骤二--评价建议的安全控制
　　风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中，要对建议的安全控制措施的可行性（如兼容性、用户接受程度）和有效性（如保护程度和风险减缓级别）进行分析。目的是选择最适当的安全控制措施以最小化风险。
步骤二输出--可行安全控制清单

步骤三--实施成本-收益分析
　　为了帮助管理层作出决策并找出性价比好的安全控制，要实施成本-收益分析。4.5节详细介绍了成本-收益分析的目的和方法。
第三步输出--成本-收益分析，其中描述了实现或者不实现安全控制所带来的成本和收益

步骤四--选择安全控制
　　在成本-收益分析的基础上，管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。
步骤四输出--选择好的安全控制

步骤五--责任分配
　　遴选出那些有合适专长和技能来实现所选安全控制的人员（内务人员或外部签约人员），并分配以相应责任。
第五步输出--责任人清单

步骤六--制定一套安全措施实现计划

　　在这一步，将制定一套安全措施实现计划9（或行动计划）。这套计划应该至少包括下列信息：

◆ 风险（弱点/威胁对）和相关的风险级别（风险评估报告输出）
◆ 建议的安全控制（风险评估报告输出）
◆ 优先排序过的行动（标有给那些有非常高和高风险级别的项目分配的悠闲级）
◆ 被选择的计划好的安全控制（基于可行性、有效性、机构的收益和成本来决定）
◆ 实现那些被选择的计划好的安全控制所需要的资源
◆ 负责小组和人员清单
◆ 开始实现日期
◆ 实现完成的预计日期
◆ 维护要求
　　安全措施实现计划将实现行动进行优先级排序，并计划了项目开始和完成的预计日期。这一计划将有助于并加速风险减缓的过程。
　步骤六输出--安全措施实现计划

◆ 步骤七--实现被选择的安全控制

　　根据各自的情况，实现的安全控制可以降低风险级别不会根除风险。关于残与风险在３.6节中讨论。
步骤七输出--残余风险清单

３.4 控制措施分类

　　在实现建议的安全控制以减缓风险时，机构应当考虑使用技术、管理、和操作类的安全控制，或这些控制的组合，从而将安全控制对IT系统和机构的效果最大化。如果使用得当，安全控制可以预防、限制或阻止威胁源对机构使命的破坏。

　　安全控制的建议过程涉及到在技术、管理和操作类控制组合之间进行选择，以改善机构的安全态势。机构会考虑采用一个折衷方案，这可以通过强制使用复杂口令来减少口令被猜测和破解的可能这一决策来映证，在这个例子中，技术类控制要求在系统中附加安全软件，这可能会比流程控制更复杂、更昂贵，但是技术类控制可能更有效，因为它是由系统自动强制要求的。另一方面，流程控制可能只需通过给所有有关用户一份备忘录并对机构安全指南进行修订就可以实现，但是要保证所有用户都按这些备忘录和指南行事又很困难，它要求进行安全意识培训，还需要用户接受它。

　　本节对安全控制分类给出了一个高层次的概述。关于IT控制实现和计划的更详细指南可以参见NIST SP 800-18，IT系统的安全计划开发指南，和NIST SP 800-12，计算机安全介绍：NIST手册。

３.4.1节到本３.4.3节分别概述了技术、管理、和操作类安全控制

３.4.1 技术类安全控制

　　可以通过配置风险减缓技术类安全控制来防止给定类型的威胁。这些安全控制可能包括各种从简单到复杂的措施，往往牵扯到系统的体系结构、工程学科、以及一些包含软、硬、固件在内的安全包。所有这些措施应该协同工作以保证关键和敏感的数据、信息和系统功能。根据其主要功能，技术类安全控制可以归为如下几个主要的类别：

　◆ 支持类（３.4.1.1节）：支持类控制是通用性的并且是大多数IT安全能力的基础。
这类要实现其他控制，必须先部署好这些控制；

　◆ 预防类（３.4.1.2节）：预防类控制的主要目的是在第一时间第一场合防止安全破坏；
　◆ 检测和恢复类（３.4.1.3节）：这类控制的主要目的是检测安全破坏并从其中恢复；