百问微软云392：请介绍一下Microsoft的风险管理过程？

在线天使

与传统的IT系统相比，在相互依赖的在线系统中分析和解决安全漏洞更加复杂并且需要耗费更多的时间。风险管理和相应的审查必须适应这种动态的环境。 Microsoft使用基于在Web上提供服务的长期经验积累出的成熟流程，对这些全新的风险进行管理。在Microsoft内部， OSSC员工与运营团队和许多产品和服务交付组的业务所有者保持密切的伙伴关系，以管理这些风险。信息安全方案建立了标准化流程和文档需求，用来进行持续的以风险为基础的决策。

通过安全风险管理计划 （SRMP），风险评估发生在各种层面上并优先告知，诸如产品发布计划、策略维护以及资源分配。每一年，对Microsoft云基础架构进行全面的威胁评估，如果出现威胁会贯穿整个年度的额外审核。这种持续性的工作着重关注那些非常具有破坏性的威胁。通过这一过程，Microsoft可以确定并指导相关活动和安全控制的顺序。该SRMP方法通过以下手段来评估控制的有效性并应对威胁：

识别针对环境的威胁和漏洞
计算风险
通过Microsoft云环境报告风险
基于影响评估和相关商业案例解决风险
检验治理效果和残存风险
在持续的基础上管理风险