介紹

本節(jié)面向剛接觸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理或想要獲得風(fēng)險(xiǎn)管理基本分步方法指導(dǎo)的讀者。以下步驟提供了一組通用的介紹性步驟，可用于幫助您更好地了解所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，告知您對(duì)這些風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理響應(yīng)并確定其優(yōu)先級(jí)。

健康警告#1

這里介紹的步驟并非取自任何單一的方法、標(biāo)準(zhǔn)、方法或技術(shù)。下面提供的步驟本質(zhì)上是介紹性的，并不能單獨(dú)提供在大型復(fù)雜環(huán)境中有效管理網(wǎng)絡(luò)風(fēng)險(xiǎn)所需的風(fēng)險(xiǎn)管理見解；它們僅適合用作剛剛開始網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理之旅的組織的起點(diǎn)。出于所有這些原因以及更多原因，這些步驟不應(yīng)被視為 NCSC 批準(zhǔn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法。

步驟 1 – 建立風(fēng)險(xiǎn)管理的背景

在第一步中，應(yīng)該考慮可能影響和指導(dǎo)您做出的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策和選擇的因素。這些事情可能包括您組織的業(yè)務(wù)優(yōu)先級(jí)和目標(biāo)，應(yīng)該保護(hù)這些事情免受誰或什么的影響（例如，是否需要在官方信息的威脅模型背景下保護(hù)系統(tǒng)和服務(wù)，或者我們的服務(wù)或出于某種原因?qū)W(wǎng)絡(luò)犯罪分子或國家行為者有吸引力的系統(tǒng)）、適用于組織的任何法律和監(jiān)管義務(wù)，以及組織為完成其需要做的事情將或不會(huì)跨越的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)紅線。這種背景應(yīng)該以幫助人們理解如何管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式表達(dá)，至少應(yīng)通過以下方式來管理：表達(dá)對(duì)絕對(duì)需要保護(hù)的內(nèi)容和原因的自上而下的觀點(diǎn)，并提供有關(guān)組織愿意容忍的風(fēng)險(xiǎn)類型和原因以及不愿意容忍的風(fēng)險(xiǎn)的聲明。這些信息將幫助負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策的人員有效、自信地工作。

步驟2  – 定義風(fēng)險(xiǎn)評(píng)估范圍

在開始任何風(fēng)險(xiǎn)評(píng)估活動(dòng)之前，定義評(píng)估范圍非常重要。評(píng)估范圍應(yīng)定義正在評(píng)估的現(xiàn)有系統(tǒng)或正在構(gòu)建的新系統(tǒng)的邊界，并且范圍應(yīng)明確定義其中包含的所有資產(chǎn)。在表達(dá)評(píng)估范圍時(shí)，創(chuàng)建模型圖可能會(huì)很有用。這對(duì)于傳達(dá)和描述范圍有很大幫助。

除了表達(dá)評(píng)估的邊界之外，對(duì)于系統(tǒng)范圍的任何模型來說，描述以下內(nèi)容也很有用：

• 范圍內(nèi)的內(nèi)部以及外部與其他系統(tǒng)、服務(wù)或組織的任何互連
• 組織可以對(duì)其內(nèi)的資產(chǎn)和系統(tǒng)施加控制的邊界，以及不能控制的邊界
• 評(píng)估范圍內(nèi)的系統(tǒng)以某種方式依賴的任何外部系統(tǒng)、服務(wù)或組織

下面顯示了一個(gè)示例范圍圖，其中風(fēng)險(xiǎn)評(píng)估的范圍是員工對(duì)基于云的應(yīng)用程序的訪問。這清楚地顯示了范圍內(nèi)的關(guān)鍵系統(tǒng)組件、參與者、連接以及明確超出范圍的內(nèi)容。

圖片

步驟 3  – 了解資產(chǎn)并評(píng)估影響

這一步是為了讓了解關(guān)心的事物以及應(yīng)該保護(hù)的事物。為了幫助實(shí)現(xiàn)這一點(diǎn)，可以建立一個(gè)資產(chǎn)登記冊(cè)，其中可能包括（例如）對(duì)成功實(shí)現(xiàn)業(yè)務(wù)目標(biāo)至關(guān)重要的設(shè)備、系統(tǒng)、服務(wù)、軟件、信息和/或流程。此步驟的一個(gè)重要部分是識(shí)別并記錄組織內(nèi)每項(xiàng)資產(chǎn)（或資產(chǎn)組）的所有權(quán)。這很重要，因?yàn)橘Y產(chǎn)所有者是幫助了解與其資產(chǎn)相關(guān)的影響的關(guān)鍵，他們對(duì)資產(chǎn)發(fā)生的情況、資產(chǎn)的使用方式以及影響資產(chǎn)的風(fēng)險(xiǎn)應(yīng)如何管理負(fù)責(zé)。

現(xiàn)在已經(jīng)有了資產(chǎn)或您關(guān)心的事情的列表，現(xiàn)在應(yīng)該評(píng)估如果這些資產(chǎn)以某種方式受到損害將會(huì)產(chǎn)生什么影響。妥協(xié)可能包括某人讀取、更改或刪除不該讀取的信息或數(shù)據(jù)，某人干擾系統(tǒng)或服務(wù)的工作方式，以及由于某些故障或原因而完全喪失使用系統(tǒng)、服務(wù)或信息的能力。網(wǎng)絡(luò)安全攻擊。您應(yīng)該以對(duì)您有意義的方式表達(dá)資產(chǎn)影響，以便可以在所有業(yè)務(wù)資產(chǎn)的背景下理解這些資產(chǎn)的重要性。我們建議您建立風(fēng)險(xiǎn)登記冊(cè)，以幫助您記錄您的資產(chǎn)、確定資產(chǎn)的負(fù)責(zé)人并記錄資產(chǎn)對(duì)您的業(yè)務(wù)的價(jià)值。

資產(chǎn)登記冊(cè)可能類似于下表，其中清楚地標(biāo)識(shí)了資產(chǎn)及其所有權(quán)以及影響評(píng)估和評(píng)級(jí)。需要注意清楚地記錄用于評(píng)估影響的任何標(biāo)簽背后的含義。例如，高影響可能意味著完全喪失實(shí)現(xiàn)組織目標(biāo)的能力，而低影響可能意味著對(duì)組織的運(yùn)營(yíng)造成不便或輕微干擾。

表 1：資產(chǎn)登記示例

步驟 4 - 評(píng)估威脅

這一步是要理解兩件事，

1. 誰或什么可能對(duì)您的組織及其目標(biāo)構(gòu)成威脅。
2. 他們可能會(huì)如何攻擊或以其他方式損害您關(guān)心的事物。

為了實(shí)現(xiàn)此步驟的第一個(gè)目標(biāo)，您應(yīng)該尋找威脅信息的權(quán)威來源，這些信息可以幫助了解誰可能試圖對(duì)組織造成傷害以及原因。此威脅信息可能來自 NCSC 或 NPSA 等國家當(dāng)局、供應(yīng)商和/或行業(yè)團(tuán)體，或者基于有關(guān)誰攻擊了您或您的部門等組織的歷史知識(shí)。如果您不確定如何以一致且可重復(fù)的方式描述和傳達(dá)有關(guān)您的威脅和威脅信息的信息，那么來自 Oasis Open 組織的 STIX v2.1提供了有用的詞匯表。

健康警告#2

保護(hù)系統(tǒng)和服務(wù)免受每個(gè)潛在威脅參與者的影響是不切實(shí)際的、不具有成本效益的，或者在大多數(shù)情況下甚至是不可能的。因此，重要的是將對(duì)威脅的分析和評(píng)估與步驟 1 中建立的上下文聯(lián)系起來，以便清楚地了解您到底想保護(hù)您的系統(tǒng)和服務(wù)免受誰的侵害以及原因。例如，如果您的組織決定需要根據(jù)官方信息的威脅模型來保護(hù)系統(tǒng)或服務(wù)那么您可能會(huì)認(rèn)為黑客活動(dòng)分子、記者、黑客、罪犯和犯罪團(tuán)伙等威脅行為者是相關(guān)的且在范圍內(nèi)，但您可能會(huì)認(rèn)為國家行為者超出了范圍，因?yàn)槟慕M織已做出基于風(fēng)險(xiǎn)的決定，不尋求保證您的系統(tǒng)或服務(wù)受到保護(hù)，免受它們的侵害。在不同的情況下，您正在處理的系統(tǒng)或服務(wù)可能支持在線銷售商品或支付金錢，這意味著組織可能適合將資源充足的在線犯罪團(tuán)伙視為犯罪團(tuán)伙的高門檻。需要保護(hù)系統(tǒng)或服務(wù)免受威脅。 

下一步是了解威脅可能如何攻擊，以及它們可能針對(duì)組織和試圖保護(hù)的事物使用的策略和技術(shù)。威脅建模等技術(shù)以及使用助記符（如STRIDE、網(wǎng)絡(luò)殺傷鏈、攻擊樹的開發(fā)和威脅信息的公開知識(shí)庫（如MITRE ATT&CK））對(duì)于建立這種理解非常有幫助，并為進(jìn)一步評(píng)估提供信息。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

如果不確定如何記錄威脅分析或無法對(duì)一種威脅與另一種威脅進(jìn)行評(píng)級(jí)，那么可以考慮使用簡(jiǎn)單的 3x3 矩陣，其中威脅能力、動(dòng)機(jī)和威脅本身按照簡(jiǎn)單的從低到高的等級(jí)進(jìn)行評(píng)分。

表 2：威脅分析示例

健康警告 #3

應(yīng)該意識(shí)到，雖然矩陣易于使用，但如果使用不當(dāng)，可能會(huì)導(dǎo)致錯(cuò)誤和風(fēng)險(xiǎn)傳達(dá)錯(cuò)誤。如果您要使用如上所示的矩陣，請(qǐng)確保仔細(xì)傳達(dá)量表和所使用的任何標(biāo)簽的含義。

步驟 5 – 評(píng)估弱點(diǎn)

人員、流程、地點(diǎn)和技術(shù)中可能存在漏洞，威脅行為者可能會(huì)利用這些漏洞來實(shí)現(xiàn)其目的和目標(biāo)。有多種技術(shù)和資源可以幫助您評(píng)估漏洞：

• 可以使用良好的指導(dǎo)（例如NCSC 的安全系統(tǒng)管理指南、安全設(shè)計(jì)原則或云安全指南）來幫助您思考使用的系統(tǒng)和服務(wù)中可能存在漏洞的位置
• 可以構(gòu)建攻擊樹來幫助您了解威脅行為者為實(shí)現(xiàn)其目標(biāo)而需要采取的步驟
• 可以利用公開披露的技術(shù)漏洞的目錄或數(shù)據(jù)庫（例如 MITRE 的常見漏洞枚舉 [CVE] 數(shù)據(jù)庫）來幫助您了解影響您使用的技術(shù)的已知漏洞
• 可以使用威脅信息的知識(shí)庫（例如 MITRE ATT&CK）來幫助您更多地了解作為現(xiàn)實(shí)世界和已知攻擊的一部分而被利用的漏洞
• 可以根據(jù)漏洞被利用的難易程度、漏洞在您的組織及其系統(tǒng)中的傳播范圍以及威脅行為者知道或假設(shè)您存在影響您的系統(tǒng)的漏洞的難易程度來評(píng)估漏洞和服務(wù)

如果不確定如何記錄漏洞分析或無法對(duì)一個(gè)漏洞與另一個(gè)漏洞進(jìn)行評(píng)級(jí)，那么您可以考慮使用簡(jiǎn)單的 3x3 矩陣，其中威脅暴露度、可利用性和漏洞本身按照簡(jiǎn)單的從低到高進(jìn)行評(píng)分規(guī)模。

表 3：漏洞分析示例

步驟 6 – 估計(jì)可能性

以某種方式結(jié)合對(duì)威脅和漏洞的分析，以評(píng)估特定威脅利用特定策略或技術(shù)來利用漏洞來實(shí)現(xiàn)其目的和目標(biāo)的可能性，從而對(duì)發(fā)生。

可能性是對(duì)某事發(fā)生的可能性的估計(jì)，可能性可以用一個(gè)尺度來描述，其中 0 表示某事沒有發(fā)生的可能性，1 表示某事將會(huì)發(fā)生，各種確定性/不確定性狀態(tài)作為其間的尺度間隔?？赡苄砸部梢员硎緸槟呈掳l(fā)生的百分比概率，0% 表示沒有機(jī)會(huì)，100% 表示某事會(huì)發(fā)生。這些等級(jí)可以使用標(biāo)簽來表示，例如低、中和高。

在考慮可能性時(shí)，您應(yīng)該尋找有關(guān)這些威脅、漏洞和攻擊對(duì)與您類似的其他組織或部門產(chǎn)生什么影響的信息。例如，如果您的競(jìng)爭(zhēng)對(duì)手或與您合作的合作伙伴組織正在遭受類似的攻擊，那么可以肯定地說您也可能會(huì)受到攻擊。

估計(jì)可能性的另一種方法是將其視為威脅動(dòng)機(jī)和能力、漏洞利用的容易程度以及您暴露于該漏洞的程度的某種產(chǎn)物。在這種情況下記錄和分析可能性的一個(gè)簡(jiǎn)單方法是使用如下所示的矩陣，其中威脅和漏洞評(píng)級(jí)以及可能性進(jìn)行評(píng)分并以簡(jiǎn)單的從低到高的等級(jí)表示。

表 4：似然分析示例

無論決定估計(jì)、分析和描述可能性，都應(yīng)該記住，風(fēng)險(xiǎn)管理是一種應(yīng)對(duì)不確定性的練習(xí)。這意味著我們需要注意，不要通過對(duì)風(fēng)險(xiǎn)的任何組成部分（即威脅、脆弱性、影響和可能性）進(jìn)行估計(jì)、評(píng)估或評(píng)級(jí)，給決策者帶來錯(cuò)誤的確定性。這可以通過幫助決策者了解用于分析、評(píng)估和評(píng)級(jí)風(fēng)險(xiǎn)組成部分（例如可能性）的方法、流程和信息，并以有意義的方式傳達(dá)風(fēng)險(xiǎn)來實(shí)現(xiàn)。這將在下一步中更詳細(xì)地討論。

步驟 7 – 評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是與技術(shù)系統(tǒng)和服務(wù)的使用相關(guān)的未來事件，可能對(duì)某人、系統(tǒng)、企業(yè)或組織產(chǎn)生某種形式的影響。與其他業(yè)務(wù)領(lǐng)域（例如金融領(lǐng)域）的風(fēng)險(xiǎn)管理相比，在網(wǎng)絡(luò)安全領(lǐng)域，我們認(rèn)為這一未來事件與我們對(duì)技術(shù)的使用有關(guān)。危害可能包括與信息資產(chǎn)的機(jī)密性、完整性和可用性相關(guān)的傳統(tǒng)影響，但組織和企業(yè)不應(yīng)將他們的思維僅限于這些信息資產(chǎn)質(zhì)量。損害可能包括系統(tǒng)或服務(wù)的正確運(yùn)行、其可用性、企業(yè)的良好聲譽(yù)、組織未能履行其法律、監(jiān)管或合同責(zé)任或財(cái)務(wù)影響。

如前所述，為了提高對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其實(shí)現(xiàn)方式的理解和評(píng)估，可能會(huì)發(fā)現(xiàn)進(jìn)行一些威脅建?；驑?gòu)建一些攻擊樹很有幫助。詳細(xì)介紹技術(shù)漏洞和攻擊的公開信息源（例如常見漏洞枚舉列表和ATT&CK 知識(shí)庫）（均由 MITRE 公司提供）也可能有助于了解可能出現(xiàn)問題的情況以及如何出現(xiàn)問題。

為了達(dá)到風(fēng)險(xiǎn)的定性水平，我們可以以某種方式將您對(duì)可能性的估計(jì)（包括威脅和脆弱性）與您對(duì)影響的評(píng)估結(jié)合起來，以得出風(fēng)險(xiǎn)。確保以有意義的方式傳達(dá)您的風(fēng)險(xiǎn)，并傳達(dá)與風(fēng)險(xiǎn)評(píng)估相關(guān)的不確定性。

如果沒有足夠的信心根據(jù)考慮的威脅、漏洞和影響信息自由地編寫風(fēng)險(xiǎn)聲明，或者您不知道如何將它們組合起來形成風(fēng)險(xiǎn)評(píng)級(jí)，那么可以考慮使用簡(jiǎn)單的矩陣?yán)缦旅娴目赡苄栽u(píng)估和影響評(píng)估相結(jié)合得出風(fēng)險(xiǎn)評(píng)級(jí)。然后，該風(fēng)險(xiǎn)評(píng)級(jí)可用于幫助您向決策者傳達(dá)已識(shí)別風(fēng)險(xiǎn)的重要性，或優(yōu)先考慮一種風(fēng)險(xiǎn)。

表 5：風(fēng)險(xiǎn)聲明示例

溝通并記錄風(fēng)險(xiǎn)

確保使用風(fēng)險(xiǎn)聲明以有意義的方式傳達(dá)風(fēng)險(xiǎn)，使決策者能夠了解所涉及的時(shí)間范圍和不確定性。

在向決策者描述風(fēng)險(xiǎn)時(shí)，向他們傳達(dá)分析的確定性或不確定性非常重要。如果不這樣做，就會(huì)向決策者傳達(dá)這樣的信息：您完全確定您所描述的風(fēng)險(xiǎn)將會(huì)發(fā)生。例如，承認(rèn)不確定性的風(fēng)險(xiǎn)聲明可能如下所示：

“在未來 12 至 24 個(gè)月內(nèi)，我們中的人很有可能成為網(wǎng)絡(luò)犯罪團(tuán)伙使用勒索軟件攻擊的目標(biāo)（10% 左右）。如果勒索軟件攻擊成功，它可能會(huì)導(dǎo)致我們完全無法訪問 IT 和 OT 系統(tǒng)，從而使我們?cè)谝欢螘r(shí)間內(nèi)無法與客戶和合作伙伴溝通，無法制造我們的產(chǎn)品或提供我們的服務(wù)，直到恢復(fù)對(duì)我們的系統(tǒng)和信息的訪問為止，我們每天的成本約為 1-200 萬英鎊。”

從這個(gè)聲明中你可以看出，我們對(duì)可能性、時(shí)間尺度和影響的評(píng)估存在不確定性。

步驟 8 – 確定風(fēng)險(xiǎn)優(yōu)先級(jí)并提出風(fēng)險(xiǎn)管理行動(dòng)建議

在此步驟中，應(yīng)該審查在前面的步驟中提出的整套風(fēng)險(xiǎn)，并確定風(fēng)險(xiǎn)管理的優(yōu)先級(jí)。作為分析師并作為此過程的一部分，需要向業(yè)務(wù)部門推薦可以最有效地管理所識(shí)別的風(fēng)險(xiǎn)的方法。例如，可以建議企業(yè)：

• 使用某種技術(shù)或非技術(shù)網(wǎng)絡(luò)安全控制來處理風(fēng)險(xiǎn)
• 通過改變或停止導(dǎo)致風(fēng)險(xiǎn)存在的活動(dòng)來避免風(fēng)險(xiǎn)
• 通過將處理其財(cái)務(wù)影響的責(zé)任轉(zhuǎn)移給第三方（例如通過保險(xiǎn)）來轉(zhuǎn)移風(fēng)險(xiǎn)，并指出通過網(wǎng)絡(luò)保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)僅處理已實(shí)現(xiàn)的風(fēng)險(xiǎn)的財(cái)務(wù)影響；風(fēng)險(xiǎn)的其他方面和影響，例如聲譽(yù)、法律或監(jiān)管影響，需要以其他方式進(jìn)行管理
• 接受風(fēng)險(xiǎn)并且不采取任何行動(dòng)，同時(shí)接受如果風(fēng)險(xiǎn)按照您的分析描述的那樣實(shí)現(xiàn)，他們將不得不處理風(fēng)險(xiǎn)的后果

此步驟還提供了一個(gè)有用的機(jī)會(huì)來消除或組合重復(fù)的風(fēng)險(xiǎn)，并識(shí)別風(fēng)險(xiǎn)之間的聯(lián)系和關(guān)系。例如，成功的拒絕服務(wù)風(fēng)險(xiǎn)可能依賴于最初意識(shí)到的網(wǎng)絡(luò)釣魚或惡意軟件風(fēng)險(xiǎn)。請(qǐng)參閱下表，該表說明了如何呈現(xiàn)風(fēng)險(xiǎn)優(yōu)先級(jí)列表。

表 6：優(yōu)先風(fēng)險(xiǎn)示例

步驟 9 – 制定風(fēng)險(xiǎn)處理計(jì)劃

如果您建議使用技術(shù)或非技術(shù)控制措施來處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，則有必要記錄和描述這些控制措施，并盡可能提供有關(guān)如何/應(yīng)該實(shí)施這些控制措施的指導(dǎo)和信息。在考慮您可能尋求應(yīng)用的控制措施時(shí)，考慮使用提供良好控制基準(zhǔn)的標(biāo)準(zhǔn)或方案可能會(huì)很有用。例如，國際標(biāo)準(zhǔn)組織 (ISO)或NCSC 的 Cyber Essentials 計(jì)劃提供的內(nèi)容。無論您選擇應(yīng)用什么控制或控制基線，都應(yīng)注意確保明智且按比例地應(yīng)用它們，以避免出現(xiàn)不必要的控制或更糟的情況，即控制不能有效地幫助管理風(fēng)險(xiǎn)。雖然真正的風(fēng)險(xiǎn)治療計(jì)劃將包括有關(guān)擬議治療及其實(shí)施方式的更多細(xì)節(jié)，但基本治療計(jì)劃可能如下所示：

表 7：風(fēng)險(xiǎn)處理計(jì)劃示例

步驟 10 – 制定保障計(jì)劃

保證是一種提供信心的方法，讓我們相信我們關(guān)心的事物受到保護(hù)，并且安全控制以您期望的方式單獨(dú)和協(xié)同工作，以確保系統(tǒng)的安全。應(yīng)不斷從您用于處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制措施（無論是程序、物理、人員還是技術(shù)）中尋求保證。因此，通過有效利用保障活動(dòng)來獲得對(duì)風(fēng)險(xiǎn)處理的信心對(duì)于管理網(wǎng)絡(luò)風(fēng)險(xiǎn)至關(guān)重要。要完成此步驟，您需要考慮如何獲得并維持所提議的安全控制的保證。可以尋求保證：

• 安全控制結(jié)合起來保護(hù)我們關(guān)心的業(yè)務(wù)成果、系統(tǒng)或服務(wù)的方式。例如通過設(shè)計(jì)審查、架構(gòu)審查、安全測(cè)試等。
• 控件的設(shè)計(jì)方式
• 實(shí)施控制的方式
• 控件的使用方式
• 通過控制測(cè)試
• 在使用和管理您的系統(tǒng)和服務(wù)的人員中
• 在您工作的地方以及容納您的系統(tǒng)和服務(wù)的地方
• 在您的業(yè)務(wù)流程以及您使用的技術(shù)系統(tǒng)和服務(wù)中

您應(yīng)該確保您已經(jīng)考慮了對(duì)所建議的所有控制措施的保障，保障計(jì)劃可能如下表所示。

表 8：保險(xiǎn)計(jì)劃示例

步驟 11 – 持續(xù)迭代和改進(jìn)

重要的是：應(yīng)將風(fēng)險(xiǎn)評(píng)估和管理視為一個(gè)持續(xù)的過程。如果不這樣做，就意味著將很快無法調(diào)整系統(tǒng)、服務(wù)和安全性來應(yīng)對(duì)新技術(shù)和新出現(xiàn)的威脅。這意味著應(yīng)該定期重新審視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和控制措施，并在出現(xiàn)重大變化時(shí)立即重新審視?？赡艽偈箤彶榈淖兓赡馨ㄍ{的變化，或者系統(tǒng)或服務(wù)使用方式的重大變化。

后記：風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理是一個(gè)世界性話題，各國在網(wǎng)絡(luò)安全領(lǐng)域都會(huì)出臺(tái)很多有關(guān)的文件或資料，我們?cè)谝粭l線索上去學(xué)時(shí)垂直性的學(xué)習(xí)和了解，我們?cè)诓煌€索上學(xué)習(xí)，是橫向?qū)Ρ炔煌瑖胰绾喂芾?，一方面找到共通性，另一方面找到個(gè)異性。整理這些東西，是我個(gè)人學(xué)習(xí)的一個(gè)過程，不是讓大家生搬硬套，而是給大家多一種思路和理解，參考借鑒。