风险控制-维护

来源：作者：出处：巧巧读书 2006-09-22 进入讨论组

　　风险控制-维护
经过风险消减阶段的行动，组织的预期安全目标应该已经达到了，即将安全风险可能造

成的影响降低到可接受的水平，但只是达到这一效果还不够，组织还应该力求维持这样的安
全状态，使新的安全措施保持其效力，这就需要继续进行风险控制（Risk Control）。
新的系统和环境投入运转之后，安全措施是否能够被正确操作和维护？是否还能发挥正
常有效的功能？是否有新的变化出现？这些问题都需要在风险控制和跟进活动中予以解决。
风险管理不是一次性的，而是持续不断、循环递进的一个过程。在风险控制阶段，通过操作
维护、监视、响应、审计和再评估、安全意识与培训，以及其他风险管理的跟进活动（配置
变更管理、业务连续性管理等），组织力求控制风险并维持现有的安全状态。

机器需要加油，需要擦拭，用久了还要更换磨损的零件，安全防护措施也是如此，绝大
多数安全措施都需要持续维护（Maintenance）和管理性支持，例如防病毒系统，如果不及
时更新病毒库，新出现的病毒就无法检测到，防病毒系统的效力就会很快减弱。为了确保安
全措施在其生命期内（包括安全措施的生命期和整个系统的生命周期）发挥应有的效力，组
织应该制定合理的计划，有规律地进行维护操作。
在系统正常操作过程中，应该定期进行检查，确保安全措施一直有效，为此，组织可以
进行以下维护活动：

检查日志文件
修改调整必要的参数，以反映变化需求
更新版本
安装补丁

我们知道，在选择安全措施时，决策者会考虑安全措施的成本，其中就包含维护成本。
不同的安全措施，其维护成本往往相差很大，因此，在维护上的投入就成为决定安全措施取
舍的一个重要因素。
维护只是风险控制操作中的一项工作，它应该和其他活动结合在一起，共同满足风险控
制的需求，包括配置和变更管理、监视、意识培训等，事实上这些活动之间有着紧密的联系
和输入输出的关系。浏览地址： http://www.qqread.com/net-saft/b232211.html