风险消减-实施安全计划
实施安全措施得力与否取决于安全计划制定的好坏,此外,安全计划的某些跟进活动也
应该一并施行,比如安全意识培训。
为了实施安全措施,安全计划中罗列的所有必要步骤都应该被贯彻执行,这需要相关责
任人真正理解并执行计划安排的行动。
为了保证措施实施的连续性和一致性,与安全措施相关的文档就显得非常重要。我们知
道,组织进行风险管理之初要制定信息安全策略,尽管安全策略对相关领域的措施和机制有
明确规定,但那是更高层次上的,是战略性的,只对具体措施的选择起指导作用,为了有效
实施安全措施,组织还应该制定更详细的程序和指示,这些低层次的、战术性的文档是对安
全策略有力的补充。安全措施文档(例如防火墙和IDS 策略设置)、安全策略、应急计划、
业务连续性计划、灾难恢复计划,等等,都是信息安全文档体系中必不可少的组成部分。
安全计划实施之后,组织应该立即进行遵守性检查(Compliance Checking)和测试,确
保安全措施被正确实施并发挥了应有的效力。为了进行测试,组织应该制定周密的测试计划,
通过多种途径(包括渗透测试、过程复查等)来验证安全措施的实施结果是否满足安全计划
的目标要求。
一旦安全措施的实施结果得到了验证,管理层应该予以确认,新的系统和新的环境开始
运转,风险消减告一段落。应该注意的是,风险管理是个动态发展的过程,任何时候,只要
有新变化引起了新的风险,都应该采取恰当的行动予以应对。
