安全风险管理保障用户安全

微软为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品，更使消费者可以控制自己的防护和安全级别。

传统安全风险管理的方法有两种:前瞻性方法和反应性方法，各有优点与缺点。确定某一风险的优先级也有两种不同的方法:定性安全风险管理和定量安全风险管理。

微软公司视消费者的安全问题为公司的头等大事。微软公司致力于整合软件、服务和最佳实践来保护消费者的系统。得益于稳固的系统，消费者尽可放心享受科技与因特网所带来的最大效益。

微软公司在安全与网络安全领域所作的贡献主要集中于以下三个方面:

技术投资 提高其产品的安全性，改进升级流程，并提供加强安全保障的新特性与产品;

产业合作 与合作伙伴，消费者，政府和法律实施合作，为发展打击计算机犯罪的相关政策和行动提供支持;

说明性指导与教育 广泛传播即时信息来帮助消费者提高他们的系统安全性，并且作好防范新威胁的准备。

微软公司深知进行安全保障是一段长期的历程，同时已经迈出了帮助消费者和公司进行自我保护的第一步，尝试了诸多全新安全创新，包括Windows XP Service Pack 2， Windows Server Service Pack 1，产品质量改进与升级预告，普遍适用的安全规范，与消费者、合作伙伴和政府间的协作等。

微软公司为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品，更添加了全新特性使消费者可以控制自己的防护和安全级别。这样，他们尽可体验技术优势，放心使用互联网资源，因为他们的系统已经受到保护。

微软安全风险管理流程是一种混合方法，综合了两种传统方法的优点。这种方法比传统的定量方法更为快速。与传统的定性方法相比，这种方法还提供了更加详尽的结果，并且更易于向管理层证明。

通过将定性方法的简单性和简明性与定量方法的一些严格性结合起来，微软安全风险管理提供了一种有效可行的独特流程。流程的目标是使风险承担者能够了解评估中的每一步骤。此方法比传统的定量风险管理大为简单，最大程度地减少风险分析和决策支持阶段的结果面临的阻力，更快达成一致意见并在整个流程中得到维护。

微软安全风险管理流程由四个阶段构成（见左图）。 第一个阶段是评估风险阶段，综合了定性和定量风险评估方法。用定性方法来快速类选安全风险的整个列表，然后用定量方法更加详细地检查在此类选过程中确定的最严重的风险。结果是一份相对较短的经过详细检查的最重要风险列表。

列表在下一阶段“实施决策支持”中使用，在该阶段中提议并评估潜在的控制解决方案，然后将最好的解决方案作为缓解顶级风险的推荐交给组织的安全筹划指导委员会。在第三阶段“实施控制”中，缓解方案所有者实际实施控制解决方案。第四阶段“评定计划有效性”用于验证控制措施实际提供预期的保护程度，并观察环境变化，例如可能改变组织风险配置的新业务应用程序或攻击工具。

由于微软安全风险管理流程是持续进行的，周期以各个新的风险评估重新开始。周期重新开始的频率因组织不同而异;很多组织发现每年一次就已足够，因为组织正前瞻性地监控新的漏洞、威胁和资产。