问：我们公司第一次制定正式的安全风险管理计划，您能提供一些安全风险管理计划示例吗，或者就安全风险管理计划应包括哪些内容给我们提供一些建议吗？

　　答：在制定企业安全风险管理计划时，有许多资料可供参考。第一份应该参考的文档是NIST（美国国家标准与技术研究所）特别出版物800-53 V3——《美国联邦信息系统和组织安全控制建议（Recommended Security Controls for Federal Information Systems and Organizations）》。该标准的第三章给出了一个规范的流程图（如图1所示），可以为你们制定安全风险管理计划和框架的关键流程提供有益的指导。

图1

　　从本质上讲，制定安全风险管理计划的出发点是将“组织投入”和“体系结构描述”作为基本信息，帮助企业进行资产识别和分类。

　　例如，组织投入可能包括组织不应受到妨碍的核心业务、企业的主要客户以及企业必须遵守的主要适用法律等。

　　体系结构描述包括企业使命/业务流程、系统体系结构以及需要保护的信息系统的边界。

　　另一份值得参考的文档是NIST特别出版物SP 800-39——《信息系统风险管理草案（DRAFT Managing Risk from Information Systems）》，该文档提供了在信息系统和基础设施中实行安全控制的组织的风险管理常规视图。该文档还提供了一个风险管理的高层次视图，如图2所示。

图2

　　对制定风险管理计划可能有所帮助的第三份文档是《信息安全（Information Security）》杂志2009年6月发表的一篇开创性的文章——《如何制定融合业务和安全需求的风险管理方案（How to write a risk methodology that blends business, security needs）》，其作者是我的同事Cris Ewell。Cris在这篇文章中指出，制定风险管理计划和流程时应注意以下要点：

　　“风险管理流程必须植根于安全性原则并与安全计划整合，安全计划包括业务需求、合理注意事项、当前攻击向量以及符合法规要求和合同要求。遵守标准和法规的要求有助于表明合理注意，但不应成为安全计划的推动力。风险管理不可能解决所有的威胁和脆弱性。在一个组织中，信息安全实践的发展方向、评估指标和改进方法的推动力应该是降低剩余风险，而不是实行指令性控制。”

　　在这篇文章中，Cris还从战略、战术和业务三个方面介绍了如何构建风险管理框架，共涉及下列13个安全要素：

• 战略类
  1.组织和授权
• 战术类
  1.策略
  2.审计与合规性
  3.风险管理
  4.隐私
  5.突发事件管理
  6.教育和培训
• 业务类
  2.业务管理
  3.技术安全和访问控制
  4.监视、测量和报告
  5.物理和环境安全
  6.资产识别和分类
  7.帐户管理和外包

　　你可能还想从互联网上查找其他的风险管理计划资料。不过，需要指出的是，前面提到的NIST文档和Cris的论文都是优秀的资源，而且可以免费获得。