终端安全风险管理：构建方法

2023-11-23 理论教育版权反馈

【摘要】：因此，最好的办法是对终端安全管理工作采用一种生命周期式的方法。不遵循生命周期方法，往往会出现以下问题。

终端安全风险是随着时间、环境、使用人、防范控制措施的变动而动态变化的。因此，不能把终端安全管理工作当作一个项目去看待。如果把终端安全管理工作仅仅当做一个项目来看待，就不可避免地会出现一些问题。

首先，任何项目都有一个起始和结束日期，项目结束后，人员就会被分配到其他项目中去，出现类似“拆东墙补西墙”的现象。其次，在开始终端安全管理计划时，确定了明确的目标，但是没有确立正确的结构和方法，不能确保终端安全管理成为一个持续不断的改进过程，导致后续工作中整个安全计划反复开始和结束，造成大量的重复工作，致使安全计划的成本增加，效率降低。

因此，最好的办法是对终端安全管理工作采用一种生命周期式的方法。

对于许多组织而言，在制定、实施和维护他们的安全管理计划时，都没有采用生命周期式的方法。有可能是因为他们并不知道如何使用这种方法，或者觉得这种方法过于麻烦，会浪费时间。不遵循生命周期方法，往往会出现以下问题。

√ 书面的制度和管理要求无法与实际的终端安全管理活动相对应，或得不到安全管理活动的支持

√ 组织内担负资产管理和保护工作的人员容易出现职责不清、任务不明而导致工作混乱

√ 无法对终端安全管理工作进展情况进行评估，无法计算投资回报率(www.chuimin.cn)

√ 无法了解现行安全管理策略的缺陷，也不能用一种标准的方法来改善这些缺陷

√ 无法保证合规性（符合国家、行业相关标准、规范要求）

√ 完全依赖技术手段来解决所有的安全问题

√ 拼凑独立的解决方案，没有整体的解决方案

√ 对存在的安全风险采用一种“火警”式的方法，而不是一种平静、主动而探测性的方法

√ 错误的安全意识，产生混乱的潜在倾向