風險管理
在我們的資料中心,風險管理是不間斷的程序,並在設施的整個生命週期都會進行正式評估。 為了找出並緩解對 Microsoft 資料中心實體和環境威脅的影響,每年都會針對裝載客戶資料的所有資料中心執行一次威脅、弱點和風險評估 (TVRA)。 除了以下 Microsoft 企業風險管理架構,Microsoft 會採用新加坡金融管理局於 2013 年 6 月發佈的技術風險管理指導方針中所定義的需求。 TVRA 反映了 Microsoft 基於公認的風險評估方法和公司目前可獲得資訊的最佳專業判斷。
Microsoft 會遵循下列步驟來促進 TVRA 程序:
風險識別:TVRA 會考量由自然和人為 (包括意外) 危險所帶來的各種威脅案例。 結果會依資料中心位置、設計、服務範圍及其他因素而不同。 TVRA 會根據客戶需求、獨立國家/地區、城市,以及第三方所提供的風險環境月臺層級評估,以及第一方風險資訊,在TVRA檔中選取要醒目提示的威脅案例。 若為具有多個資料中心的區域,我們會彙總 TVRA 評等,以確保能夠全面檢視所評估位置的實體與環境威脅、弱點和風險。
針對資料中心 TVRA 評估的威脅案例類型包括:
- 外部威脅 –外部刻意或意外人類活動所造成的事件。 例如,內亂、恐怖攻擊、犯罪活動、外部竊取、簡易爆炸裝置、武裝攻擊、縱火、未經授權的出入境和飛機失事。
- 內部威脅 –內部刻意或意外人類活動所造成的事件。 例如,內部竊取和蓄意破壞。
- 自然危險 – 可能對資料中心造成負面影響的自然過程或現象。 例如熱帶風暴、氣旋、洪水、山崩、乾旱、野火、地震、火山活動、有閃電、冰雹、強風或驟雨的劇烈風暴。
- 環境威脅 – 可能會對數據中心造成負面影響的環境狀況。 例如,水資源短缺、熱壓力和疫情。
風險分析:我們會根據固有風險的評估來評估威脅;我們會將固有風險當做以下兩項的函數來計算:威脅的固有影響,以及在缺少管理動作和控制措施時所出現威脅的固有可能性。 透過內部領域專家 (SME) 意見反應及利用外部風險指數,來取得這些評估。
殘餘風險:在考慮控制效果之後,將殘餘風險判斷為剩餘風險層級的度量。 將控制效果當做目前管理動作和控制 (其設計訴求是預防或偵測威脅) 的度量,同時評估這些控制措施按照設計和實作產生預期效果的可能性。 透過彙總 SME 對 TVRA 中提到的資料中心位置控制效果的內部意見反應,來取得這些評估。
報告:評估完成後,系統即會產生 TVRA 報告,以用於管理核准和支援與風險管理相關的整體工作。
Microsoft 致力於持續更新其風險評估和方法,以納入改善,並考慮變更條件。 因此,我們的分析和結論可能會有所變更。