SRC是一种管理系统

什么是SRC
SRC是一种管理系统，它涵盖了安全风险分析和管理的全过程。这一过程被称作安全风险遏制，它为获得更好的安全风险管理提供了总体框架的保障。所有的资产都具有风险，风险可由一系列因素导致，如事件、安全漏洞及威胁等。一个组织需要不断地对这些因素进行评估，以便把风险降低到一个可以接受的水平。SRC为此提供了一个总体解决方案，它包含了风险分析、风险管理和项目跟踪。

SRC的特性
“风险分析”是多用户决策过程，SRC通过重建评估过程来降低人为的主观性，并依照评估人员的工作职责生成威胁和控制策略。SRC对分析结果进行处理，并使用统计学方法进行风险管理。它为风险分析和管理提供了多重视角，可以供管理者用作决策支持系统（DSS），来更好地作出决策。
SRC令风险评估过程更为结构化、系统化，更为简便易用，也更具用户亲和力。其主要特性如下：
 综合的风险管理
 量化的风险评估过程
 完全符合BS7799：2的风险评估框架
 完全符合ISO17799：1 ISMS操作标准
 最大程度地降低了风险评估和管理的费用开支
 加强了组织的管理
 启用了Web功能的用户界面
 明确区分了信息管理人、用户角色和职责
 包含了超过1000条最佳安全操作的知识库
 应用统计学方法
 持续的风险评估，可以维持或提高组织的安全级别
 强大的多维报表功能
 可以跟踪控制策略的实现过程

在SRC系统的缺省设置下，包括3个工作模块，即生产模块、规划模块和管理模块。
对于大部分组织而言，实施任何项目通常都有准备阶段、实施阶段和逐步上线阶段，而SRC系统也包括了这三个阶段，并把它们体现在规划（准备）模块和生产（实施和上线）模块中。
在准备阶段，系统需求还不是特别清楚，需要使用规划模块，通过分析组织的总体安全性的就绪情况，估计出所需的安全控制数量。只有实施阶段，系统需求才会清楚，就要使用生产模块来登记实施所需的所有安全控制。
只有当管理员能够执行诸如冻结版本、更新威胁和控制、管理影响目的等管理性任务时，才能使用管理模块。

生产模块功能
 登记资产用于风险分析
 登记管理区
 度量系统影响
 对资产和区执行风险分析
 执行风险管理
 跟踪控制的实施情况
 制作报表

规划模块功能
 登记系统，进行风险分析
 度量系统影响
 分析系统的风险
 制作报表

管理模块功能
 设置SRC用户的访问权限
 自定义知识库
 定义系统影响的管理目的
 简化对风险级别的理解
 定义信息和控制分级
 定义威胁发生的可能性
 决定保障基准
 登记风险评估模板