电子商务风险管理规则

一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。

（

1）评估阶段

该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分

的评估以及一些基本的安全风险识别和分析。

对电子商务安全现状的评估是制定风险管理规则的基础。

对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便

确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹

配。

安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开

发和对策的信息。

安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级

别，以便做出明智的决策，从而采取措施来规避安全风险。

（

2）开发和实施阶段

该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。

风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配

置管

理、修补程序管理、系统监视与审核等等。

在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程

中，将按照安全风险的控制效果来评估对策的有效性。

（

3）运行阶段

运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程

实际上是变更管理的过程，也是执行安全配置管理的过程。

运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程

由系统管理、安全管理和网络管理小组来共同实施。