２.8 步骤八：控制建议

　　在这一步骤里，针对机构的操作提出了可以用来减缓和消除已识别风险的安全控制。这些建议控制的目标是降低IT系统的风险级别，到一个可接受的水平。在对安全控制以及减小或消除已识别风险的备选方案时提出建议时，应该考虑下列因素：

• 建议选项的有效性（如系统的兼容性）
  
• 法律法规
  
• 机构策略
  
• 操作影响
  
• 安全性和可靠性
  

　　控制建议是风险评估过程的结果，并为风险减缓过程提供输入，在风险减缓过程中，所建议的流程和技术类安全控制将被评价、排序并实现。

　　应该注意的是，并非所有可能的建议控制都可以被实现来降低损失。针对具体机构要确定哪一个控制是所要求的而且还是适合的，要对被提出的建议控制作一个成本收益分析（如4.6节中所讨论），从而证明实现这些控制来降低风险级别在成本上是合理的。另外，在风险减缓过程中，对引入这些建议控制所带来的操作影响（如对系统性能的影响）和可行性（如技术要求，用户的接受程度）等方面也要仔细评价。

步骤八的输出--减缓风险的控制建议及备选解决方案。

２.9 步骤九：结果文档

　一旦风险评估全部结束（威胁源和系统弱点已经被识别出来，风险也被评估，控制建议也已经提出），结果应该被整理到正式文档或大纲里。

　　风险评估报告是一份管理报告，它可以帮助高级管理人员、使命所有者对策略、流程、预算、以及系统操作和管理变更作出决定。不同于审计或调查报告（它们为了检查错误行为），风险评估报告并非以一种非难的方式，而是以一种系统和分析的方法来评估风险，这样高级管理人员才能理解风险并分配资源用来降低和修正可能出现的损失。因为这个原因，有人更愿意将威胁/弱点对表示为观察报告，而非风险评估报告中的结论。

步骤九的输出--风险评估报告，它描述了威胁和弱点、风险度量、并为控制实现提供了建议。

第 ３　章　风险减缓

　风险管理的第二个过程是风险减缓，它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现，这些控制是用来减轻风险的。

　　因为消除所有风险往往是不切实际的，甚至也是近乎不可能的，所以高级管理人员和业务职能主管有责任运用最小成本方法来实现最合适的控制，将使命风险降低到一个可接受的级别，使得对机构的资源和使命造成的负面影响最小化。

本章描述了风险减缓措施（３.1节）；风险减缓策略（３.2节）；安全控制实现方法（３.3节）；安全控制类别（３.4节）；成本-收益分析（以确定所实现的控制是否合理，３.5节）；和残余风险（３.6节）。

３.1 风险减缓措施

　　风险减缓是一种系统方法，高级管理人员可用它来降低使命风险。风险减缓可以通过下列措施实现：

• 风险假设：接受潜在的风险并继续运行IT系统，或实现安全控制以把风险降低到一个可接受的级别。
  
• 风险规避：通过消除风险的原因和/或后果（如当识别出风险时放弃系统某项功能或关闭系统）来规避风险。
  
• 风险限制：通过实现安全控制来限制风险，这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化（如使用支持、预防、检测类的安全控制）。
  
• 风险计划：制定一套风险减缓计划来管理风险，在该计划中对安全控制进行优先排序、实现、和维护。
  
• 研究和了解：通过了解系统弱点和缺陷，并研究相应的安全控制修正这些弱点，来降低风险损失。
  
• 风险转移：通过使用其他措施补偿损失，从而转移风险，如购买保险。
  

　　在选择风险减缓措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的，所以应该对那些可能给使命带来严重危害影响的威胁/弱点对进行优先排序。同时，在保护机构使命及其IT系统时，由于每一机构有其特定的环境和目标，因此用来减缓风险的措施和实现安全控制的方法也各个不同。最好的方法是从不同的厂商安全产品中选择最合适的技术，再伴以适当的风险减缓措施和非技术类的管理措施。

３.2 风险规避策略

　高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后，可能会问："什么时候、在什么情况下我该采取行动？什么时候我该实现这些安全控制来减缓风险，从而保护我们的机构？"
图３-1所示的风险减缓图回答了这个问题。在图中，标有YES的地方是应该实现安全控制的合适点：

图 ３－1风险规避实施点

　通过下面经验可以对这一策略作更加清晰的说明，这些经验方法对如何采取行动来减缓由于故意的人为威胁所带来的风险提供了指导：

• 当存在系统弱点时→实现保证技术来降低弱点被攻击的可能性；
  
• 当系统弱点可被恶意攻击时→运用层次化保护、结构化设计、以及管理控制将风险最小化或防止这种情形的发生；
  
• 当攻击者的代价小于攻击可能所得时→运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机（如使用系统控制，比方限制系统用户可以访问或做些什么，这些措施能够大大降低攻击所得）。
  
• 当损失巨大时→运用设计原则、结构化设计、以及技术或非技术类保护措施来限制攻击的程度，从而降低可能的损失。
  

　　上面所述的风险减缓策略中除第三条外（"当攻击者的代价小于攻击可能所得时"），也都可运用来减缓由于环境威胁或无意的人员威胁（如系统或用户错误）所带来的风险。

３.3 安全控制实现的过程

必须采取安全控制时，如下规则适用：

找出最大的风险，然后争取以最小的代价充分减缓风险，同时要使对其他使命能力的影响最小。
下列风险减缓方法描述了实现控制的方法：

• 步骤一--对行动进行优先级排序
  　　基于在风险评估报告中提出的风险级别，实现行动被进行优先级排序。在分配资源时，那些标有不可接受的高风险等级（如被定义为非常高或高风险级别的风险）的风险项目应该最优先。这些弱点/威胁对需要采取立即纠正行动以保护机构的利益和使命。
  步骤一输出--从高到低优先级的行动