终端安全风险管理：终端安全应重视

2023-11-23 理论教育版权反馈

【摘要】：基于风险评估得出的终端所面临多类实际信息安全风险，其风险个数很大。由于不同类别的信息安全风险所采取管控措施的优先级，通常也有很大的差别，如何针对数量庞大的风险及管控措施进行合理的规划，是一个很大的难题，因此对于规模比较庞大的组织，如何对风险评估后的管控措施进行统一、合理的规划至关重要。

在终端安全管理工作推行过程中存在主要困难有以下几个方面：

1）在终端风险处置过程中，缺少各项控制措施与信息安全风险的一一对应，所输出的众多信息安全管控措施难以统一规划。

在终端风险评估的过程中将会全面地、系统地对组织内的各项终端资产进行详细的风险分析，系统地分析出组织内终端系统所面临的各项风险，并对各项风险采取合理、有效的管控措施。基于风险评估得出的终端所面临多类实际信息安全风险，其风险个数很大。由于不同类别的信息安全风险所采取管控措施的优先级，通常也有很大的差别，如何针对数量庞大的风险及管控措施进行合理的规划，是一个很大的难题，因此对于规模比较庞大的组织，如何对风险评估后的管控措施进行统一、合理的规划至关重要。

2）难以在实践中对终端安全管理体系中的各级文件、模板及记录进行有条理的管理。

终端安全管理体系拥有很多文档化的方针、策略、规范和制度，并在体系运行的过程中将产生大量的记录。对于体系维护人员来讲如何对这些文件进行分门别类的管理，并且很好地对其中的逻辑性与一致性进行控制，是一个不大不小的难题。

3）终端安全管理体系实施及运作过程中，关键活动（如体系测量、组织内审、管理评审等）的策略、实施、记录很难系统化和程序化。

终端安全管理体系构建和实施运作过程中，规划、实施、内审和调整过程循环运行，由于这些活动关系到组织的多个部门，组织协调非常困难，因此将这些活动的组织策划自动化、实施过程的系统化，并在实施过程中记录完整化是体系推行人员的一个非常大的挑战。(www.chuimin.cn)

为有效规避以上问题，需要在终端安全管理体系构建之前确定完善的终端安全管理体系构建方法论，通过结合终端安全风险管理体系明确终端安全管理流程，同步构建知识库，以便有效满足各级组织终端安全管理体系建设的需求。

传统信息安全体系建设系统包括安全体系规划、安全体系设计、安全体系实施以及安全体系保障4个主要模块。

1）安全体系规划分析识别出终端安全风险体系，明确终端安全风险管理过程，分析识别出终端安全的终端信息安全改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。

2）安全体系设计建立体系相关部门、人员、职责及联系信息，系统管理各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制。

3）安全体系实施将各个任务实施的情况记录到系统中，对各项任务的实施的状态执行有效跟踪，并且评价各个任务实施的有效性。

4）安全体系保障对体系内部审核、外部审核及管理评审等活动进行组织、策划、协调，并对内审、外审、管理评审的过程进行记录，对各不符合项及预防措施进行记录及状态跟踪。

终端安全风险管理：终端安全应重视

相关推荐