1.4.3 控制分类

实施控制的目的是向管理层提供合理保证，确保实现组织的业务目标以及预防/检测和纠正风险事件。评估控制强度时应考虑的控制因素分为预防性因素、检测性因素以及改正性因素。

图1.7描述了控制类别。

预防性控制通常能更有效地降低风险，因为它们能防止威胁事件的发生。例如，如果恶意威胁者试图使用泄露的密码登录可从互联网访问的系统，多因素认证要求可阻止威胁者成功访问系统。

相比之下，检测性控制并不能阻止未经授权的使用或输入，但它能表明威胁事件已经发生或正在发生。如果发生了威胁事件，改正性控制可以帮助企业从攻击的影响中恢复过来。例如，如果企业的某台计算机遭到未经授权的访问，则会启动程序来保护网络的其他部分。

组织必须根据适用的风险和成本效益分析实施各种控制类型。总而言之，检测性和预防性控制用于降低威胁事件的可能性（发生某事的可能性），而改正性控制则旨在减轻后果（见图1.8）。

图1.7 控制类别

图1.8 控制目的

资料来源：ISACA，Fundamentals of Information Systems Audit and Assurance（Facilitator Guide），USA，2018

适当融合不同类型的控制措施不仅能降低威胁事件发生的可能性，而且还有助于识别和减轻后果。如图1.9所示，不同类型的控制措施可以相辅相成，以帮助确保每种控制措施都能有效发挥作用，并应对独特的威胁事件。

图1.9 控制类型与威胁事件的相互作用

资料来源：Adapted from ISACA，CRISC® Review Manual，7th Edition Revised，USA，2023