信息安全風險管理培訓教材課件

第三章信息安全風險管理主講:焦楊第三章信息安全風險管理主講:焦楊1學習目標：定義風險管理、風險識別、風險控制；理解如何識別和評估風險；評估風險發(fā)生的可能性及其對機構(gòu)的影響；通過創(chuàng)建風險評估機制，掌握描述風險的基本方法；描述控制風險的風險減輕策略；識別控制的類別；承認評估風險控制存在的概念框架，并能清楚地闡述成本收益分析；理解如何維護風險控制學習目標：定義風險管理、風險識別、風險控制；23.1引言風險管理：識別和控制機構(gòu)面臨風險的過程。3.1引言風險管理：識別和控制機構(gòu)面臨風險的過程。31.風險識別：檢查和說明機構(gòu)信息技術(shù)的安全態(tài)勢和機構(gòu)面臨的風險。（風險評估就是說明風險識別的結(jié)果）2.風險控制：采取控制手段，減少機構(gòu)數(shù)據(jù)和信息系統(tǒng)的風險。

風險管理整個過程：找出機構(gòu)信息系統(tǒng)中的漏洞，采取適當?shù)牟襟E，確保機構(gòu)信息系統(tǒng)中所有組成部分的機密性、完整性和有效性。1.風險識別：檢查和說明機構(gòu)信息技術(shù)的安全態(tài)勢和機構(gòu)面臨的風43.2風險管理概述3.2.1知己識別、檢查和熟悉機構(gòu)中當前的信息及系統(tǒng)。3.2.2知彼識別、檢查和熟悉機構(gòu)面臨的威脅。3.2風險管理概述3.2.1知己5

3.2.3利益團體的作用1.信息安全信息安全團隊組成：最了解把風險帶入機構(gòu)的威脅和攻擊的成員2.管理人員

確保給信息安全和信息技術(shù)團體分配充足資源（經(jīng)費和人員），以滿足機構(gòu)的安全需要。3.信息技術(shù)建立安全的系統(tǒng)，并且安全地操作這些系統(tǒng)3.2.3利益團體的作用6信息安全保護的對象是什么？資產(chǎn)資產(chǎn)是各種威脅以及威脅代理的目標。風險管理的目標就是保護資產(chǎn)不受威脅。信息安全保護的對象是什么？資產(chǎn)73.3風險識別風險識別：規(guī)劃并組織過程、對系統(tǒng)組件進行分類、列出資產(chǎn)清單并分類、識別出威脅、指出易受攻擊的資產(chǎn)。風險評估:為資產(chǎn)受到的攻擊賦值、評估漏洞攻擊的可能性、計算資產(chǎn)的相對風險因素、檢查可能的控制措施、記錄所發(fā)現(xiàn)的事件。3.3風險識別風險識別：規(guī)劃并組織過程、對系統(tǒng)組件進行分類、8規(guī)劃并組織過程

對系統(tǒng)組件進行分類

列出資產(chǎn)清單并分類

識別出威脅

指出易受攻擊的資產(chǎn)

風險識別規(guī)劃并組織過程對系統(tǒng)組件進行分類列出資產(chǎn)清單并分類識別9為資產(chǎn)受到的攻擊賦值

評估漏洞攻擊的可能性

計算資產(chǎn)的相對風險因素

檢查可能的控制措施

記錄所發(fā)現(xiàn)的事件

風險評估為資產(chǎn)受到的攻擊賦值評估漏洞攻擊的可能性計算資產(chǎn)的相對風103.3.1資產(chǎn)識別和評估1.人員、過程及數(shù)據(jù)資產(chǎn)的識別（1）人員（2）過程（3）數(shù)據(jù)2.硬件、軟件和網(wǎng)絡(luò)資產(chǎn)的識別3.3.1資產(chǎn)識別和評估1.人員、過程及數(shù)據(jù)資產(chǎn)的識別113.3.2信息資產(chǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機構(gòu)的人員陌生人過程過程IT及商業(yè)標準過程IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲軟件軟件應用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組建因特網(wǎng)或DMZ組件3.3.2信息資產(chǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系123.3.3信息資產(chǎn)評估評估資產(chǎn)的價值。評估價值標準：1.哪一項信息資產(chǎn)對于成功是最關(guān)鍵的？2.那一項信息資產(chǎn)創(chuàng)造的收效最多？3.哪一項資產(chǎn)的獲利最多？4.哪一項信息資產(chǎn)在替換時最昂貴？5.哪一項信息資產(chǎn)的保護費用最高？6.哪一項信息資產(chǎn)是最麻煩的，或者泄漏后麻煩最大？3.3.3信息資產(chǎn)評估133.3.4安全調(diào)查數(shù)據(jù)分類技術(shù)——個人安全調(diào)查機構(gòu)

給每一個數(shù)據(jù)用戶分配一個單一的授權(quán)等級3.3.5分類數(shù)據(jù)管理1.數(shù)據(jù)的存儲2.數(shù)據(jù)的分布移植3.數(shù)據(jù)的銷毀清潔桌面政策：要求員工在下半時將所有的信息放到適當?shù)拇鎯ζ髦小?.3.4安全調(diào)查143.3.6威脅識別和威脅評估威脅實例1.人為過時或失敗行為意外事故、員工過失2.侵害知識產(chǎn)權(quán)盜版、版權(quán)侵害3.間諜或人侵蓄意行為未授權(quán)訪問和收集數(shù)據(jù)4.蓄意信息敲詐行為以泄露信息為要挾進行勒索5.蓄意破壞行為破壞系統(tǒng)或信息6.蓄意竊取行為非法使用硬件設(shè)備或信息7.蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8.自然災害火災、水災、地震、閃電9.服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問題10.技術(shù)硬件故障或錯誤設(shè)備故障11.技術(shù)軟件故障或錯誤漏洞、代碼問題、未知問題12.技術(shù)淘汰陳舊或過時的技術(shù)3.3.6威脅識別和威脅評估威脅實例1.人為過時或15威脅評估過程：一、針對每種威脅提出同樣問題:（1）在給定的環(huán)境下，哪一種威脅對機構(gòu)的資產(chǎn)而言是危險的？（2）哪一種威脅對機構(gòu)的信息而言是最危險的？（3）從成功的攻擊中恢復需要多少費用？（4）防范哪一種威脅的花費最大？二、通過提問的答案，建立威脅評估構(gòu)架威脅評估過程：一、針對每種威脅提出同樣問題:163.3.7漏洞識別漏洞：威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。在按照威脅評估標準，檢查每項威脅，建立漏洞表。3.3.7漏洞識別漏洞：威脅代理能夠用來攻擊信息資產(chǎn)的特定173.4風險評估3.4.1風險評估概述風險=出現(xiàn)漏洞的可能性×信息資產(chǎn)的價值-當前控制減輕的風險幾率+對漏洞了解的不確定性漏洞的可能性是什么？漏洞成功攻擊機構(gòu)內(nèi)部的概率。（0.1～1.0）3.4風險評估3.4.1風險評估概述183.4.2信息安全風險評估原則1．自主機構(gòu)內(nèi)部人員管理的信息安全風險評估2.適應量度一個靈活的評估過程可以適應不斷變化的技術(shù)和進展；既不會受限當前威脅源的嚴格模型，也不會受限于當前公認的“最佳”實踐。3.已定義過程描述了信息安全評估程序依賴于已定義的標準化評估規(guī)程的需要。4.連續(xù)過程的基礎(chǔ)機構(gòu)必須實施基于實踐安全策略和計劃，以逐漸改進自身的安全狀態(tài)。3.4.2信息安全風險評估原則1．自主193.4.3風險評估的過程1.信息資產(chǎn)評估使用信息資產(chǎn)的識別過程中的到的信息，就可以為機構(gòu)中每項信息資產(chǎn)的價值指定權(quán)重分數(shù)（1～100）。（舉例：一些資產(chǎn)會導致整個公司停止運作，說明資產(chǎn)比重較高）2.風險的確定利用風險公式：3.4.3風險評估的過程1.信息資產(chǎn)評估203.識別可能的控制（訪問控制）訪問控制：控制用戶進入機構(gòu)信息區(qū)域訪問控制方法：強制、非任意、任意。4.記錄風險評估的結(jié)果過程：信息資產(chǎn)列表（分類）→帶有漏洞的信息資產(chǎn)列表→權(quán)重標準分析表→漏洞風險等級表3.識別可能的控制（訪問控制）21成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對機構(gòu)的影響或價值權(quán)重標準分析表為每項信息資產(chǎn)分配等級值或影響權(quán)重漏洞風險等級表為每對無法控制的資產(chǎn)漏洞分配風險等級成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對機構(gòu)的影響或價值223.5風險控制策略

3.5.1避免（試圖防止漏洞被利用的風險控制策略）（1）通過應用策略來避免（2）教育培訓（3）應用技術(shù)3.5風險控制策略3.5.1避免233.5.2轉(zhuǎn)移（將風險轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機構(gòu)的控制方法）如何提供服務(wù)、修改部署模式、外包給其他機構(gòu)、購買保險、與提供商簽署服務(wù)合同。信息安全風險管理培訓教材課件243.5.3緩解（試圖通過規(guī)劃和預先的準備工作，減少漏洞造成的影響）

緩解策略（如下表）3.5.3緩解25計劃描述實例何時使用時間范圍事件響應計劃（IRP）在事件（攻擊）進行過程中機構(gòu)采取的行動災難發(fā)生期間采取的措施情報收集信息分析當事件或者災難發(fā)生時立即并實時作出響應災難恢復計劃（DRP）發(fā)生災難的恢復準備工作：災難發(fā)生之前及過程中減少損失的策略；逐步恢復常態(tài)的具體指導丟失數(shù)據(jù)的恢復過程丟失服務(wù)的重建過程結(jié)束過程來保護數(shù)據(jù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為在難后短期恢復業(yè)務(wù)持續(xù)性計劃（BCP）當災難的等級超出DRP的恢復能力時，確保全部業(yè)務(wù)繼續(xù)動作的步驟啟動下級數(shù)據(jù)中心的準備步驟在遠程服務(wù)位置建立熱站點在確定災難影響了機構(gòu)的持續(xù)運轉(zhuǎn)之后長期恢復計劃描述實例何時使用時間范圍事件響應計劃在事件（攻擊）進行過263.5.4接受（選擇對漏洞不采取任何保護措施，接受漏洞帶來的結(jié)果）1.確定了風險等級2.評估了攻擊的可能性3.估計了供給帶來的潛在破壞4.進行了全面的成本效益分析5.評估了使用每種控制的可行性6.認定了某些功能、服務(wù)、信息或者資產(chǎn)不值得保護

結(jié)論：保護的資產(chǎn)的成本抵不上安全措施的開銷。3.5.4接受273.6選擇風險控制策略面對漏洞，如何去選擇風險控制策略？3.6選擇風險控制策略面對漏洞，如何去選擇風險控制策略？28可能的威脅按設(shè)計實現(xiàn)的系統(tǒng)系統(tǒng)是否易受攻擊系統(tǒng)是否可利用按設(shè)計實現(xiàn)的系統(tǒng)存在威脅和漏洞具有風險具有風險存在風險攻擊者獲取的利益是否大于攻擊開銷具有風險具有風險預期的損失是否大于機構(gòu)的可接受的級別無法接受此風險可能的威脅按設(shè)計實現(xiàn)系統(tǒng)是否系統(tǒng)是否按設(shè)計實現(xiàn)存在威脅具有風29風險處理決策：存在漏洞：實現(xiàn)安全控制，來減少漏洞被利用的可能性（1）漏洞可以利用（2）攻擊著的開銷少于收益（3）可能的損失非常大●實現(xiàn)了控制策略，就應對控制效果進行監(jiān)控和衡量，來確定安全控制的有效性，估計殘留風險的準確性。

連續(xù)循環(huán)過程確?？刂骑L險風險處理決策：30標示信息資產(chǎn)準備分等級的漏洞風險表開發(fā)控制策略和計劃標示信息資產(chǎn)標示信息資產(chǎn)準備分等級的漏洞風險表準備分等級的漏洞風險表控制是否得當是否可以接受此風險標示信息資產(chǎn)準備分等級的開發(fā)控制策略標示信息資產(chǎn)標示信息資產(chǎn)313.7風險管理的討論要點風險可接受程序的定義：當機構(gòu)評估絕對安全與無限制訪問之間的平衡時愿意接受的風險的級別和種類。殘留風險：未能完全排除、緩解、規(guī)劃的一些風險。（1）降低了通過安全措施減少威脅效果的一種威脅（2）降低了通過安全措施減少漏洞效果的一種漏洞（3）降低了通過安全措施保護資產(chǎn)價值的效果的一種資產(chǎn)3.7風險管理的討論要點風險可接受程序的定義：當機構(gòu)評323.8驗證結(jié)果提交結(jié)果方式：執(zhí)行控制風險的系統(tǒng)方法、風險評估項目和特定主題的風險評估。3.8驗證結(jié)果提交結(jié)果方式：執(zhí)行控制風險的系統(tǒng)方法、33演講完畢，謝謝觀看！演講完畢，謝謝觀看！34第三章信息安全風險管理主講:焦楊第三章信息安全風險管理主講:焦楊35學習目標：定義風險管理、風險識別、風險控制；理解如何識別和評估風險；評估風險發(fā)生的可能性及其對機構(gòu)的影響；通過創(chuàng)建風險評估機制，掌握描述風險的基本方法；描述控制風險的風險減輕策略；識別控制的類別；承認評估風險控制存在的概念框架，并能清楚地闡述成本收益分析；理解如何維護風險控制學習目標：定義風險管理、風險識別、風險控制；363.1引言風險管理：識別和控制機構(gòu)面臨風險的過程。3.1引言風險管理：識別和控制機構(gòu)面臨風險的過程。371.風險識別：檢查和說明機構(gòu)信息技術(shù)的安全態(tài)勢和機構(gòu)面臨的風險。（風險評估就是說明風險識別的結(jié)果）2.風險控制：采取控制手段，減少機構(gòu)數(shù)據(jù)和信息系統(tǒng)的風險。

風險管理整個過程：找出機構(gòu)信息系統(tǒng)中的漏洞，采取適當?shù)牟襟E，確保機構(gòu)信息系統(tǒng)中所有組成部分的機密性、完整性和有效性。1.風險識別：檢查和說明機構(gòu)信息技術(shù)的安全態(tài)勢和機構(gòu)面臨的風383.2風險管理概述3.2.1知己識別、檢查和熟悉機構(gòu)中當前的信息及系統(tǒng)。3.2.2知彼識別、檢查和熟悉機構(gòu)面臨的威脅。3.2風險管理概述3.2.1知己39

3.2.3利益團體的作用1.信息安全信息安全團隊組成：最了解把風險帶入機構(gòu)的威脅和攻擊的成員2.管理人員

確保給信息安全和信息技術(shù)團體分配充足資源（經(jīng)費和人員），以滿足機構(gòu)的安全需要。3.信息技術(shù)建立安全的系統(tǒng)，并且安全地操作這些系統(tǒng)3.2.3利益團體的作用40信息安全保護的對象是什么？資產(chǎn)資產(chǎn)是各種威脅以及威脅代理的目標。風險管理的目標就是保護資產(chǎn)不受威脅。信息安全保護的對象是什么？資產(chǎn)413.3風險識別風險識別：規(guī)劃并組織過程、對系統(tǒng)組件進行分類、列出資產(chǎn)清單并分類、識別出威脅、指出易受攻擊的資產(chǎn)。風險評估:為資產(chǎn)受到的攻擊賦值、評估漏洞攻擊的可能性、計算資產(chǎn)的相對風險因素、檢查可能的控制措施、記錄所發(fā)現(xiàn)的事件。3.3風險識別風險識別：規(guī)劃并組織過程、對系統(tǒng)組件進行分類、42規(guī)劃并組織過程

對系統(tǒng)組件進行分類

列出資產(chǎn)清單并分類

識別出威脅

指出易受攻擊的資產(chǎn)

風險識別規(guī)劃并組織過程對系統(tǒng)組件進行分類列出資產(chǎn)清單并分類識別43為資產(chǎn)受到的攻擊賦值

評估漏洞攻擊的可能性

計算資產(chǎn)的相對風險因素

檢查可能的控制措施

記錄所發(fā)現(xiàn)的事件

風險評估為資產(chǎn)受到的攻擊賦值評估漏洞攻擊的可能性計算資產(chǎn)的相對風443.3.1資產(chǎn)識別和評估1.人員、過程及數(shù)據(jù)資產(chǎn)的識別（1）人員（2）過程（3）數(shù)據(jù)2.硬件、軟件和網(wǎng)絡(luò)資產(chǎn)的識別3.3.1資產(chǎn)識別和評估1.人員、過程及數(shù)據(jù)資產(chǎn)的識別453.3.2信息資產(chǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機構(gòu)的人員陌生人過程過程IT及商業(yè)標準過程IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲軟件軟件應用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組建因特網(wǎng)或DMZ組件3.3.2信息資產(chǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系463.3.3信息資產(chǎn)評估評估資產(chǎn)的價值。評估價值標準：1.哪一項信息資產(chǎn)對于成功是最關(guān)鍵的？2.那一項信息資產(chǎn)創(chuàng)造的收效最多？3.哪一項資產(chǎn)的獲利最多？4.哪一項信息資產(chǎn)在替換時最昂貴？5.哪一項信息資產(chǎn)的保護費用最高？6.哪一項信息資產(chǎn)是最麻煩的，或者泄漏后麻煩最大？3.3.3信息資產(chǎn)評估473.3.4安全調(diào)查數(shù)據(jù)分類技術(shù)——個人安全調(diào)查機構(gòu)

給每一個數(shù)據(jù)用戶分配一個單一的授權(quán)等級3.3.5分類數(shù)據(jù)管理1.數(shù)據(jù)的存儲2.數(shù)據(jù)的分布移植3.數(shù)據(jù)的銷毀清潔桌面政策：要求員工在下半時將所有的信息放到適當?shù)拇鎯ζ髦小?.3.4安全調(diào)查483.3.6威脅識別和威脅評估威脅實例1.人為過時或失敗行為意外事故、員工過失2.侵害知識產(chǎn)權(quán)盜版、版權(quán)侵害3.間諜或人侵蓄意行為未授權(quán)訪問和收集數(shù)據(jù)4.蓄意信息敲詐行為以泄露信息為要挾進行勒索5.蓄意破壞行為破壞系統(tǒng)或信息6.蓄意竊取行為非法使用硬件設(shè)備或信息7.蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8.自然災害火災、水災、地震、閃電9.服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問題10.技術(shù)硬件故障或錯誤設(shè)備故障11.技術(shù)軟件故障或錯誤漏洞、代碼問題、未知問題12.技術(shù)淘汰陳舊或過時的技術(shù)3.3.6威脅識別和威脅評估威脅實例1.人為過時或49威脅評估過程：一、針對每種威脅提出同樣問題:（1）在給定的環(huán)境下，哪一種威脅對機構(gòu)的資產(chǎn)而言是危險的？（2）哪一種威脅對機構(gòu)的信息而言是最危險的？（3）從成功的攻擊中恢復需要多少費用？（4）防范哪一種威脅的花費最大？二、通過提問的答案，建立威脅評估構(gòu)架威脅評估過程：一、針對每種威脅提出同樣問題:503.3.7漏洞識別漏洞：威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。在按照威脅評估標準，檢查每項威脅，建立漏洞表。3.3.7漏洞識別漏洞：威脅代理能夠用來攻擊信息資產(chǎn)的特定513.4風險評估3.4.1風險評估概述風險=出現(xiàn)漏洞的可能性×信息資產(chǎn)的價值-當前控制減輕的風險幾率+對漏洞了解的不確定性漏洞的可能性是什么？漏洞成功攻擊機構(gòu)內(nèi)部的概率。（0.1～1.0）3.4風險評估3.4.1風險評估概述523.4.2信息安全風險評估原則1．自主機構(gòu)內(nèi)部人員管理的信息安全風險評估2.適應量度一個靈活的評估過程可以適應不斷變化的技術(shù)和進展；既不會受限當前威脅源的嚴格模型，也不會受限于當前公認的“最佳”實踐。3.已定義過程描述了信息安全評估程序依賴于已定義的標準化評估規(guī)程的需要。4.連續(xù)過程的基礎(chǔ)機構(gòu)必須實施基于實踐安全策略和計劃，以逐漸改進自身的安全狀態(tài)。3.4.2信息安全風險評估原則1．自主533.4.3風險評估的過程1.信息資產(chǎn)評估使用信息資產(chǎn)的識別過程中的到的信息，就可以為機構(gòu)中每項信息資產(chǎn)的價值指定權(quán)重分數(shù)（1～100）。（舉例：一些資產(chǎn)會導致整個公司停止運作，說明資產(chǎn)比重較高）2.風險的確定利用風險公式：3.4.3風險評估的過程1.信息資產(chǎn)評估543.識別可能的控制（訪問控制）訪問控制：控制用戶進入機構(gòu)信息區(qū)域訪問控制方法：強制、非任意、任意。4.記錄風險評估的結(jié)果過程：信息資產(chǎn)列表（分類）→帶有漏洞的信息資產(chǎn)列表→權(quán)重標準分析表→漏洞風險等級表3.識別可能的控制（訪問控制）55成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對機構(gòu)的影響或價值權(quán)重標準分析表為每項信息資產(chǎn)分配等級值或影響權(quán)重漏洞風險等級表為每對無法控制的資產(chǎn)漏洞分配風險等級成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對機構(gòu)的影響或價值563.5風險控制策略

3.5.1避免（試圖防止漏洞被利用的風險控制策略）（1）通過應用策略來避免（2）教育培訓（3）應用技術(shù)3.5風險控制策略3.5.1避免573.5.2轉(zhuǎn)移（將風險轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機構(gòu)的控制方法）如何提供服務(wù)、修改部署模式、外包給其他機構(gòu)、購買保險、與提供商簽署服務(wù)合同。信息安全風險管理培訓教材課件583.5.3緩解（試圖通過規(guī)劃和預先的準備工作，減少漏洞造成的影響）

緩解策略（如下表）3.5.3緩解59計劃描述實例何時使用時間范圍事件響應計劃（IRP）在事件（攻擊）進行過程中機構(gòu)采取的行動災難發(fā)生期間采取的措施情報收集信息分析當事件或者災難發(fā)生時立即并實時作出響應災難恢復計劃（DRP）發(fā)生災難的恢復準備工作：災難發(fā)生之前及過程中減少損失的策略；逐步恢復常態(tài)的具體指導丟失數(shù)據(jù)的恢復過程丟失服務(wù)的重建過程結(jié)束過程來保護數(shù)據(jù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為在難后短期恢復業(yè)務(wù)持續(xù)性計劃（BCP）當災難的等級超出DRP的恢復能力時，確保全部業(yè)務(wù)繼續(xù)動作的步驟啟動下級數(shù)據(jù)中心的準備步驟在遠程服務(wù)位置建立熱站點在確定災難影響了機構(gòu)的持續(xù)運轉(zhuǎn)之后長期恢復計劃描述實例何時使用時間范圍事件響應計劃在事件（攻擊）進行過603.5.4接受（選擇對漏洞不采取任何保護措施，接受漏洞帶來的結(jié)果）