一、实施安全措施

1、告知工作人员所采取的安全措施：许多安全程序由于缺乏有效的通信而失败。大多数技术员工认为技术解决方案足以解决任何问题。任何安全程序都必须有两个基本组成部分：意识和沟通程序。

为了实现这些目标，这些项目应该得到足够的资源和关注。在认知计划期间，员工被告知安全策略对其行为的影响。沟通计划包括负责人员和高层管理人员之间的持续沟通，内容涉及将安全级别保持在可接受水平的努力和成功。

2、审计和监控安全性对安全相关事件的审计和监控系统活动是风险分析过程中的关键要素。为了从安全漏洞中恢复并控制对信息的访问，这一步至关重要。在最小化风险级别的过程中，组织应该考虑一些安全控制措施，这些措施可以分为以下几类：技术、管理和操作，或者这些措施的组合。这些控制的目的是防止和限制风险，以实现目标。

二、技术控制

技术控制可以从非常简单到非常复杂，通常必须结合起来才能确定系统的良好功能。这些措施根据其目的分为三类。

1、用于支持实施其他安全措施的基本技术措施：识别：识别用户、流程和信息资源；密钥生成、分发、存储和维护；安全管理：是必须配置以满足安全系统要求的措施；系统保护：从设计和实现方式上确保信息技术系统实施的质量。

2、防止对组织活动产生负面影响的事件发生的预防措施：身份验证：这些措施验证用户身份。使用的机制是密码、个人身份号码；授权：验证员工是否被授权对系统进行更改；受保护的通信：确保敏感数据在传输过程中的完整性、保密性和可用性；交易隐私：防止重要信息隐私的丢失。

3、检测和恢复措施，检测不良事件和/或在不良事件发生时恢复丢失的信息：入侵检测：确保检测可能产生负面影响的事件，以避免或减少其影响。恢复安全状态：这些措施能够在安全漏洞发生后将系统恢复到最后已知的安全状态；病毒检测和根除：检测、识别和清除病毒，以确保系统和数据的完整性。

三、管理安全控制

实施这些控制是为了降低风险水平并保护组织的使命。他们专注于信息保护的政策、指南和标准。管理安全控制包括三个类别：预防、检测和恢复控制。

1、首先是控制，预防性管理安全控制包括以下控制：制定和维护系统安全计划，以支持本组织的任务；实施人员安全控制，包括职责分离、最低权限、用户计算机访问注册和终止；技术培训，以确保最终用户和系统用户了解行为规则及其在保护组织使命方面的责任。

2、检测管理安全控制，包括：实施人员安全控制，包括人员调查、职责轮换；定期审查安全控制以确保其有效性；定期系统审计；持续管理过程的存在。

3、恢复管理安全控制，包括：提供持续的支持，开发、测试和维护运营计划；建立应对事故的系统能力，并使信息技术系统恢复运行状态。

四、运营安全控制

运营安全控制用于纠正威胁发生时可能出现的运营缺陷。这些包括预防和检测操作控制预防性操作控制如下：-控制数据访问；限制外部数据分发；控制软件病毒；能够创建备份副本；保护笔记本电脑（个人的计算机、工作站）；提供应急电源；控制计算的湿度和温度。

检测操作控制包括以下内容：提供物理安全(运动探测器、传感器和警报)；确保环境安全(烟雾和火灾探测器、火灾传感器和警报器)。

【作者声明】本文编译自Elena Ramona STROIE的“Security Risk Management - Approaches and Methodology”。