在系统规划与管理师的备考冲刺阶段,信息安全风险处置策略是综合知识中的重要部分。
一、风险规避
1. 适用场景
- 当面临高风险且无法有效控制的情况时适用。例如,在项目中如果使用未经验证的新技术,可能会带来严重的安全漏洞,此时选择规避风险就是不采用该新技术。
- 对于一些法律法规明确禁止的业务操作相关风险,如涉及数据隐私保护方面,如果继续开展可能违法的操作就应规避。
2. 决策依据
- 主要依据风险的潜在影响程度和发生的可能性。如果潜在影响极大且发生概率较高,如可能导致企业核心数据泄露的技术应用,就考虑规避。
二、风险转移
1. 适用场景
- 常见于购买保险等情况。比如企业的服务器面临自然灾害等不可抗力因素可能损坏的风险,就可以通过购买财产保险将风险转移给保险公司。
- 在一些外包业务中,将部分信息安全风险随着业务外包一同转移给外包商,如将网络安全维护外包,相关的维护不善导致的风险部分转移出去。
2. 决策依据
- 考虑自身承担风险的能力以及外部机构对风险的承受和管理能力。如果自身缺乏应对某些风险的专业资源或资金,而外部机构有能力且有意愿承担,就可选择转移。
三、风险减轻
1. 适用场景
- 对于可以部分控制的风险。如员工网络安全意识薄弱可能带来的风险,可以通过开展培训课程来减轻风险。
- 网络系统中存在的一些已知漏洞风险,可以通过安装补丁等方式减轻。
2. 决策依据
- 风险虽然存在但有一定的应对措施可行,并且实施这些措施的成本低于风险发生后造成的损失。例如加强防火墙设置来减轻外部网络攻击的风险,当设置防火墙的成本低于被攻击后的损失时就可采用。
四、风险接受
1. 适用场景
- 当风险发生的可能性较小或者应对风险的成本过高时。比如一些小型企业对于个别低价值数据的丢失风险,如果采取措施防范的成本过高,就可能选择接受风险。
2. 决策依据
- 综合评估风险的严重程度、发生概率以及应对成本。如果风险的影响轻微且发生概率极低,或者防范措施成本远超风险损失,就可以接受风险。
在备考过程中,要理解每个策略的内涵,通过做案例分析题加深记忆,同时多关注实际的信息安全事件,以便更好地掌握这些策略在不同场景下的应用。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
