控制措施:对资产或组织可能导致负面结果的一个事件的潜在源。控制措施是在行政、技术、管理和法律方面的管理风险的方法,包括策略、程序、指南、实践或组织结构。控制措施也用于防护措施或对策的同义词。控制的目的是减少意外事件的发生或者降低意外事件发生后的影响。
我们可以按实施方法把控制措施分为二类:技术类控制措施和管理类控制措施。技术类控制措施指那些加在硬件、软件或者固体中的保护措施,例如访问控制机制、防火墙、加密软件、入侵检测系统IDS等。管理类控制措施如组织的安全方针、安全策略、设备的操作流程等。
我们也可以按控制措施在风险形成过程中的作用分为预防性措施和补救性措施。例如,访问控制机制是为了减少非授权访问的发生,就是预防类措施;象形如地震之类的威胁,即使我们确切知道了发生的时间,也无法改变,就只能选择补救性措施了。