危机管理及风险评估基础知识(ppt 79页)

发布于:2021-08-03 17:47:35

风险评估与管理

风险评估与管理
1. 与风险评估和风险管理相关的概念解析 2. 信息安全风险管理的一般过程 3. 风险评估与风险管理的其它问题

1 概念解析
1.1 与 过程相关的概念 1.2 与 要素相关的概念

① 风险 ② 风险管理 ③ 风险评估 ④ 风险分析 ⑤ 风险评价 ⑥ 风险处理
⑦ 资产 ⑧ 威胁 ⑨ 脆弱性 ⑩ 防护措施

概念解析1 - 风险
? 风险(risk)
? 风险是指遭受损害或损失的可能 性,是实现一个事件的不想要的 负面结果的潜在因素。
? 对信息系统而言:两种因素造成 对其使命的实际影响:(1)一个 特定的威胁源利用或偶然触发一 个特定的信息系统脆弱性的概率; (2)上述事件发生之后所带来的 影响。

概念解析1 - 风险(续)
? 在ISO/IEC GUIDE73将事 件定义为:
? 事件的概率及其结果的组合。 ? 注1 通常,只有至少存在产 生不利结果可能性的情况下 才使用“风险”术语。 ? 注2 在某些情况下,风险是 由偏离期望的结果或事件的 可能性引起的。

概念解析2 - 风险管理
? 风险管理(Risk management)
? 风险管理指标识、控制和消 除可能影响信息系统资源的 不确定事件或使这些事件降 至最少的全部过程。
? 风险管理被认为是良好管理 的一个组成部分。

概念解析2 - 风险管理

? 对风险管理的过程而言,不同的方法或工具提供了不同 的步骤,但是信息安全风险管理可操作的相关过程和活 动一般都要包括:

确 定 评 估 范 围

识 别 评 估 资 产

识 别 评 估 威 胁

识 别 评 估 脆 弱 性

识 别 评 估 控 制 措 施

风 险 评 价

确 定选制实 风择定施 险安安安 处全全全 理措计计 策施划划 略

风险分析

风险处理

概念解析3 - 风险评估
? 风险评估(risk assessment)
? 风险评估指风险分析和风险评价的整个 过程。
? 风险评估是风险管理的基础,是组织确 定信息安全要求的途径之一,属于组织 信息安全管理体系策划的过程。
? 通过风险评估识别组织所面临的安全风 险并确定风险控制的优先等级,从而对 其实施有效控制,将风险控制在组织可 以接受的范围之内。

概念解析3 - 风险评估(续)
? 区分风险评估和风险管理
? 风险管理是把整个组织内的风险降低到可接受水*的整个过程。 风险管理是一个持续的周期,通常以一定的间隔重新开始,来 更新流程中各个阶段的数据。风险管理是一个持续循环,不断 上升的过程。
? 风险评估是确定组织面临的风险并确定其优先级的过程,是风 险管理流程中最必须,最谨慎的一个过程。当潜在的与安全相 关的事件在企业内发生时,如变动业务方法、发现新的漏洞等, 组织都可能会启动风险评估。

概念解析4 - 风险分析
? 风险分析(risk analysis)
? 风险分析是标识安全风险, 确定其大小和标识需要保护 措施的区域的过程,其目的 是分离可接受的小风险和不 能接受的大风险,为风险评 价和风险处理提供数据。

概念解析4 - 风险分析(续)
? 就风险分析的方法而言,目前应用中没有所谓的正 确或错误的方法。一个组织选择一个自己感觉顺手, 可以信任,且能产生可比较、可再现性的结果才是 最重要的。
? 尽管评估风险的方法有很多,但是大多数方法都是 基于两种方法或两种方法的组合:定性的分析方法 和定量的分析方法。

概念解析4 - 风险分析(续)
? 定性分析方法
? 定性分析方法是最广泛使用的 风险分析方法。主要采用文字 形式或叙述性的数值范围来描 述潜在后果的大小程度及这些 后果发生的可能性。
? 该方法通常只关注威胁事件所 带来的损失,而忽略事件发生 的概率。

概念解析4 - 风险分析(续)
? 定量分析方法
? 定量分析方法在后果和可能性 分析中采用数值(不是定性分 行中所使用的叙述性数值范 围),并采用从各种各样的来 源中得到的数据。
? 定量分析步骤主要集中在现场 调查阶段,针对系统关键资产 进行定量的调查、分析,为后 续评估工作提供参考依据。

概念解析4 - 风险分析(续)
? 定性风险分析示例(此示例来源于 ISO/IEC13335-3)

概念解析4 - 风险分析(续)

? 步骤1:结果或影响的定性量度

等级 1 2 3 4 5

描述 可以忽略 较小 中等 较大 灾难性

详详细描述 无伤害,低财物损失 立即受控制,中等财物损失 受控, 高财物损失 大伤害,失去生产能力,较大财物损失 持续能力中断,巨大财物损失

概念解析4 - 风险分析(续)
? 步骤2:可能性的定性量度
等 描述 详细描述 级
A 几乎 预期在大多数情况 肯 下发生 定
B 很可 在大多数情况下很 能 可能会发生
C 可能 在某个时间可能会 发生
D 不太 在某个时间能够发 可生 能

概念解析4 - 风险分析(续)
? 步骤3:从而得出风险分析矩阵
其中:E:要求立即采取措施 H:需要高级管理部门的注意 M:必须规定管理责任 L:用日常程序处理

概念解析4 - 风险分析(续)
? 定量风险分析的示例:

概念解析4 - 风险分析(续)
? 计算风险的年预期损失
? ALE: Annual Risk Expectancy年预期损失
? ARO: Annual Rate of Occurrence 年发生率 ? SLE: Single Loss Expectancy单一风险预期损失
? ALE=ARO*SLE

概念解析4 - 风险分析(续)
? 两种方法的比较:
? 目前风险分析方法以定性分析为主。 ? 由于定性的分析方法不是用数学或统计的工具将风险模
型化,因此一次风险评估的成败与执行者的经验有很大 的关系。 ? 定量方法有一些固有的难以克服的明显缺点。 ? 具体对比见下表:

概念解析4 - 风险分析(续)

? 比较:

定性分析 定量分析

优点

缺点

它可以对风险进行排序并能 没有对影响大小给出具体的定量

够对那些需要立即改善

度量,因此使得对控*

的环节进行标识

成本效益分析变得很困难。

对影响大小给出了度量,使 得可以使用成本效益分 析来控制成本

依赖于用来表示度量的数字范围, 定量影响分析的结果的含义 可能因而会比较模糊,还要 以定性的方式对结果做解释

概念解析5 - 风险评价
? 风险评价(risk evaluation)
? 是把前些步骤识别分析出来的 风险与风险判据进行比较,以 判断特定的风险是否可接受或 需采取其它措施处置。
? 风险评价的结果为具有不同等 级的风险列表。

概念解析5 - 风险评价(续)
? 目前在风险评价的方法上,国际上 一直还在不断的研究中,也有相当 多的定量或者定性的风险计算方法 被提出,但是由于安全风险要素的 各个环节存在太多的不确定因素和 无法定量的特性,因此并没有被公 认接受的风险评价方法。

概念解析6 - 风险处理
? 风险处理 (risk mitigation)
? 风险处理是风险管理的第二 个过程。
? 它包括对风险评估过程中建 议的安全控*杏畔燃杜 序、评估和实现。

概念解析6 - 风险处理(续)
? 风险评估只为组织的信息安全活 动提供一个方向,并没有必要导 致重大的信息安全改进。
? 不管评估方法有多专业和多详细, 都不能改进组织的安全状态,除 非组织通过实现评估结果将改进 活动坚持到底。
? 所以评估结束后,组织必须开发 详细的行动计划,计划如何根据 评估实现保护策略和风险处理计 划。

概念解析6 - 风险处理(续)
? 风险处理是一种系统化方法,高级管理人员可用它 来降低使命风险。风险处理可以通过下列措施实现:
? 风险承受:接受潜在的风险并继续运行信息系统,或实现 安全防护措施,以把风险降低到一个可接受的级别。
? 风险规避:通过消除风险的原因和/或后果(如在识别出风 险后放弃系统某项功能或关闭系统)来规避风险。
? 风险转移:通过使用其它措施来补偿损失,从而转移风险, 如购买保险。

概念解析 – 与过程相关概念小结

? 其关系可以简明表示如下:

风险管理

风险评估

风险分析 风险评价

风险处理

概念解析7 - 资产
? 资产(asset)
? 所谓资产就是被组织赋予了价 值,组织需要保护的有用资源。
? ISO13335-1定义资产为所 有对组织有用的东西。
? 为了对资产进行有效的保护, 组织需要在各个管理层对资产 落实责任,进行适当的管理。

概念解析7 - 资产(续)
? 以下是资产示例及分类: ? 信息资产:数据库和数据文件、系统文件、用户手册、培训 资料、操作与维护程序、知识产权、业务持续性计划、应急 安排等。 ? 书面文件:合同、公司文件、人事记录、财务记录、采购文 件、发票等。 ? 软件资产:应用软件、系统软件、开发工具和实用程序等。

概念解析7 - 资产(续)
? 物理资产:计算机、服务器、路由器、集线器、防火墙、通讯 设备、其它技术设备(供电设备、空调设备)、家具、办公场 所等。
? 人员:员工、客户、合同工、警卫。 ? 服务:计算和通讯服务及其它技术服务(供暖、照明、电力、
空调)等。 ? 公司形象和声誉:如正面和负面的宣传、品牌附加值等。

概念解析8 - 威胁
? 威胁(threat)
? 威胁是一个单位的信息资产的安 全可能受到的侵害。
? ISO 17799 将威胁定义为对组 织造成潜在影响的原因。
? NIST SP800-30将威胁定义为 可能对系统造成损害的事件或实 体。

概念解析8 - 威胁(续)
? 威胁由多种属性来刻画:威 胁的主体(威胁源)、能力、 资源、动机、途径、可能性 和后果。

概念解析8 - 威胁(续)
? 以下几种都是常见的威胁:
? 对信息、信息系统、网络和网络服务的非授权访问 ? 这些一般都是有意图、有目的的行为,会对信息的保密 性、完整性和可用性造成损害,损害的程度决定于非授 权用户的目的和拥有的权限。
? 信息的非授权修改 ? 这是一种有预谋的威胁,可能会损害资产的保密性与可 用性。

概念解析8 - 威胁(续)
? 恶意软件 ? 恶意软件的引入可以是有意的(具有一定的目的和 企图)和无意的(运行了来历不明的软件),恶意 软件威胁资产的保密性、完整性和可用性。
? 软件失效 ? 由于有预谋的事件或意外事件发生,从而导致软件 的完整性与可用性的损失。

概念解析8 - 威胁(续)
? 火灾 ? 这是一种意外事故,也可能是一种有预谋的事件,会影响 资产的完整性与可用性。
? 偷窃 ? 这是一种有预谋的威胁,可能会损害资产的保密性与可用 性。
? 人员错误 ? 可能是有意的或无意的行为,有时此类事件的发生仅仅是 员工缺乏安全意识,并不是有什么恶意企图。

概念解析9 - 脆弱性
? 脆弱性(Vulnerability)
? 脆弱性是信息资产及其防护措施 在安全方面的不足和弱点。
? 脆弱性也常常被称为漏洞。 ? NIST SP800-30将漏洞定义为安
全程序、技术控制措施、物理控 制措施或其他控制措施中可能被 威胁利用的条件或弱点,或缺乏 控制措施。

概念解析9 - 脆弱性(续)
? 经验表明:大多数重大的漏洞 通常是由于缺乏良好的流程或 指定了不适当的信息安全责任 才出现的,但是进行风险评估 时往往过分注重技术漏洞。

概念解析9 - 脆弱性(续)
? 以下都是常见的脆弱性:
? 缺乏物理保护或保护不适当 ? 可能被威胁利用,损害资产的保密性、完整性和可用性
? 口令选择或使用不当 ? 可能导致对系统信息的非授权访问,从而损害资产的保 密性、完整性和可用性。

概念解析9 - 脆弱性(续)
? 与外部网络的连接没有保护 ? 能导致在联网系统中存储与处理信息的保密性、完整性和 可用性的损害。
? 没有保护的存档文件 ? 有可能被偷窃,从而损害资产的保密性、完整性和可用性。
? 不足够的安全培训 ? 可能造成用户缺乏足够的安全意识,破坏信息的保密性, 或者产生用户错误,从而造成对资产的完整性和可用性的 损害。

概念解析10 - 防护措施
? 防护措施 (safeguard)
? 防护措施是对付威胁,减少脆弱性, 保护资产,限制意外事件的影响,检 测、响应意外事件,促进灾难恢复和 打击信息犯罪而实施的各种实践、规 程和机制的总称。
? 防护措施 本质上都是减少脆弱性的。

概念解析- 与要素相关概念小结

风险评估与管理
1. 与风险评估和风险管理相关的概念解析 2. 信息安全风险管理的一般过程 3. 风险评估与风险管理的其它问题

2 信息安全风险管理的一般过程
2.1 信息安全风险评估的过程 2.2 信息安全风险处理的过程

2.1 信息安全风险评估的过程

输入
● 硬件 ● 软件 ● 系统接口 ● 数据和信息 ● 人员 ● 系系统统遭使受命攻击的历

● 来自信息咨询机构
、大众媒体的数据
● 以前的风险评报告 ● 安全检查工作中提
出的意见
● 安全要求 ● 安全测试结果 ● 当前的以及规划中
的安全措施
● 威胁的属性(威胁
源、动机、能力等)
●脆弱性的性质 ●当前的以及规划中的 安 ●全分措析施对使命的影响 ● 评估资产的关键性 ● 数据关键性 ●数据敏感性
● 威胁破坏的可能性 ● 影响的程度 ● 当前的以及规划中
的安全措施的足够性

风险评估活动
步骤1:体系特征描述
步骤2:识别威胁
步骤3:识别脆弱性
步骤4:分析安全措施 步骤5:确定可能性
步骤6:分析影响
完整性损失 可用性损失 保密性损失
步骤7:确定风险
步骤8:建议安全措施

输出
● 系统边界 ● 系统功能 ● 系统和数据的关键

●系统和数据的敏感性 ● 威胁声明
● 可能的脆弱性列表
● 当前的以及规划中
的安全措施
● 可能性级别
● 影响级别
● 风险及相关风险的
级别
● 建议的安全措施

步骤9:记录结果

● 风险评估报告

2.1 信息安全风险评估的过程(续)
? 步骤1:描述系统特征
? 在对信息系统的风险进行评估中,第一步是定 义工作范围。
? 在该步中,要确定信息系统的边界以及组成系 统的资源和信息。对信息系统的特征进行描述 后便确立了风险评估工作的范围,刻画了对系 统进行授权运行(或认可)的边界,并为风险 定义提供了必要的信息(如硬件、软件、系统 连通性、负责部门或支持人员)。

2.1 信息安全风险评估的过程(续)
? 步骤1.1 系统相关信息 ? 步骤1.2 信息收集技术
? 可以使用下列一项或多项技术在其运行边界内获取相 关的系统信息:
? 调查问卷 ? 现场面谈 ? 文档审查 ? 使用自动扫描工具

2.1 信息安全风险评估的过程(续)
? 步骤2:识别威胁
? 如果没有脆弱性,威胁源无法造成风险;在确 定威胁的可能性时,应该考虑威胁源、潜在的 脆弱性和现有的安全防护措施。
? 步骤2.1 识别威胁源 ? 步骤2.2 动机和行为

2.1 信息安全风险评估的过程(续)
? 步骤3:识别脆弱性
? 本步的目标是制定系统中可能会被威胁源利 用的脆弱性(缺陷或薄弱环节)的列表。
? 步骤3.1 脆弱性源 ? 步骤3.2 系统安全测试

2.1 信息安全风险评估的过程(续)
? 步骤4:分析安全控制
? 本步的目标是对已经实现或规划中的安全防护措施 进行分析——单位通过这些措施来减小或消除一个 威胁源利用系统脆弱性的可能性(或概率)。
? 步骤4.1 安全防护措施 ? 步骤4.2 安全防护措施的分析技术

2.1 信息安全风险评估的过程(续)
? 步骤5:分析可能性
? 本步要说明一个潜在的脆弱性在相关威胁环境下被 攻击的可能性,下列支配因素应该在本步中考虑:
? 威胁源的动机和能力。 ? 脆弱性的性质。 ? 安全防护措施的有效性。

2.1 信息安全风险评估的过程(续)
? 一个潜在的脆弱性被一个给定威胁源攻击的可能性可以 用高、中、低来表示。下表描述了这三个可能性级别。

可能性级别 高 中


可能性描述
威胁源具有强烈的动机和足够的能力,防止脆 弱性被利用的防护措施是无效的。
威胁源具有一定的动机和能力,但是已经部署 的安全防护措施可以阻止对脆弱性的成功 利用。
威胁源缺少动机和能力,或者已经部署的安全 防护措施能够防止——至少能大大地阻止 对脆弱性的利用。

2.1 信息安全风险评估的过程(续)
? 步骤6:分析影响
? 度量风险级别的下一主要步骤便是确定对脆 弱性的一次成功攻击所产生的负面影响。
? 对安全事件的负面影响可以用完整性、可用 性和保密性三个安全属性的损失或降低来描 述。

2.1 信息安全风险评估的过程(续)

? 可以通过定性手段进行度量,例如用高、中、低影响 等术语来描述。

影响级别 高 中 低

影响定义
对脆弱性的利用(1)可能导致有形资产或资源的高 成本损失;(2)可能严重违犯、危害或阻碍单 位的使命、声誉或利益;或者(3)可能导致人 员死亡或严重伤害。
对脆弱性的利用(1)可能导致有形资产或资源的损 失;(2)可能违犯、危害或阻碍单位的使命、 声誉或利益;或者(3)可能导致人员伤害。
对脆弱性的利用(1)可能导致某些有形资产或资源 的损失;或者(2)可能对单位的使命、声誉或 利益造成值得注意的影响。

2.1 信息安全风险评估的过程(续)
? 步骤7:确定风险
? 确定一个特定的威胁/脆弱性对带来的风险时,可以 将其表示为以下参数构成的函数:
? 给定的威胁源试图攻击一个给定的系统脆弱性的可能 性;
? 一个威胁源成功攻击了这个系统的脆弱性后所造成的 影响的程度;
? 规划中或现有的安全防护措施对于降低或消除风险的 充分性。

2.1 信息安全风险评估的过程(续)
? 步骤7.1 风险级别矩阵 ? 将威胁的可能性(例如概率)及威胁影响的级 别相乘后便得出了最终的使命风险。下面是一 个关于威胁的可能性(高、中、低)和威胁影 响(高、中、低)的3×3矩阵。 ? 根据现场要求和风险评估要求的粒度,有些情 况下也可能使用4×4或5×5的矩阵。

2.1 信息安全风险评估的过程(续)
? 下表的矩阵范例描述了高、中或低的总体风险级别 是如何得出的。这种风险级别或等级的确定可能是 主观性的。这种判断的基本原理可以用每个可能性 级别上分配的概率值和每个影响级别上分配的影响 值来解释。例如: ? 赋给每个威胁可能性级上的概率为1.0时表示高, 0.5表示中,0.1表示低; ? 赋给每个影响级上的值为100时表示高,50表示中, 10表示低。

2.1 信息安全风险评估的过程(续)

威胁可能性

低(10)

影响 中(50)

高(100)

高(1.0)
中(0.5) 低(0.1)

低10×1.0 = 10 低10×0.5 = 5 低10×0.1 = 1

中50×1.0 = 50 高100×1.0 = 100 中50×0.5 = 25 中100×0.5 = 50 低50×0.1 = 5 低100×0.1 = 10

风险尺度:高(50~100);中(10~50);低(1~10)

2.1 信息安全风险评估的过程(续)
? 步骤7.2 风险级别描述
? 下表描述了上述矩阵中的风险级别。这种表示 为高、中、低的风险尺度代表了如果给定的脆 弱性被利用来攻击时,信息系统、设施或流程 可能暴露出的风险程度或级别。风险尺度也表 示了高级管理人员和系统拥有者对每种风险级 别必须采取的行动。

2.1 信息安全风险评估的过程(续)

风险级别 高 中 低

风险描述和必要行动
如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系 统可能要继续运行,但是必须尽快部署针对性计划。
如果被评估为中风险,那么便要求有纠正行动,必须在一个合理 的时间段内制定有关计划来实施这些行动。
如果被评估为低风险,那么单位的管理层就必须确定是否还需要 采取纠正行动或者是否接受风险。。

2.1 信息安全风险评估的过程(续)
? 步骤8:建议安全防护措施
? 在这一步里,将针对单位的运行提 出可用来控制已识别出的风险的安 全防护措施。

2.1 信息安全风险评估的过程(续)
? 步骤9:记录评估结果
? 一旦风险评估全部结束(威 胁源和系统脆弱性已经被识 别出来,风险也得到了评估, 安全防护措施建议也已经提 出),该过程的结果应该被 记录到正式的报告或简报里。
风险评估过程结束!

2.2 信息安全风险处理的过程

来自风险评估报告的风 险级别
风险评估报告

步骤1:对行动优先级进行排序
步骤2:评估所建议的安全选项
可用性 有效性

?由 高 到 底 的行动优先 级
?可 能 的 控 制清单

步骤3:实施成本效益分析

?成 本 效 益 分析

步骤4:选择安全防护措施 步骤5:分配责任

?所 选 择 的 安全防护措 施
?责 任 人 员 清单

步骤6:制定安全措施的实现计划
?风险及相关风险的级别 ?优先级排序后的行动 ?所建议的安全防护措施 ?所选择的预期安全措施
?责任人员 ?开始日期 ?目标完成日期 ?维护要求
步骤7:实现所选择的安全措施

?安 全 措 施 实现计划
?残余风险

2.2 信息安全风险处理的过程(续)
? 步骤1: 对行动优先级进行排序
? 基于在风险评估报告中提出的风险级别,对风险 处理的实现行动进行优先级排序。在分配资源时, 标有不可接受的高等级(例如被定义为“非常高” 或“高”风险级的风险)的风险项应该最优先。 这些脆弱性/威胁对需要采取立即纠正行动以保护 单位的利益和使命。

2.2 信息安全风险处理的过程(续)
? 步骤2: 评估所建议的安全选项
? 风险评估过程中建议的安全防护措施对于具体的 单位及其信息系统可能不是最适合和最可行的。 在这一步中,要对所建议的安全防护措施的可行 性(如兼容性、用户接受程度)和有效性(如保 护程度和风险控制的级别)进行分析。目的是选 择出最适当的安全防护措施,使风险降至最低。

2.2 信息安全风险处理的过程(续)
? 步骤3: 实施成本效益分析
? 为了帮助管理层做出决策并找出成本有效性最 好的安全控制,要实施成本效益分析。

2.2 信息安全风险处理的过程(续)
? 步骤4: 选择安全防护措施
? 在成本效益分析的基础上,管理人员应确定成 本有效性最好的安全防护措施来降低单位的风 险。

2.2 信息安全风险处理的过程(续)
? 步骤5: 责任分配
? 遴选出那些拥有合适的专长和技能,可实现所选安全 防护措施的人员(内部人员或外部合同商),并赋以 相应责任。

2.2 信息安全风险处理的过程(续)
? 步骤6: 制定安全防护措施的实现计划
? 在本步中将制定安全防护措施的实现计划。

2.2 信息安全风险处理的过程(续)
? 步骤7: 实现所选择的安全防护措施
? 根据各自情况的不同,所实现的安全控制可以降低 风险级但不会根除风险。实现安全防护措施后仍然 存在的风险为残余风险。
风险处理过程结束!

风险评估与管理
1. 与风险评估和风险管理相关的概念解析 2. 信息安全风险管理的一般过程 3. 风险评估与风险管理的其它问题

3 风险评估与风险管理的其它问题
3.1 风险评估的角色和责任 3.2 风险评估方法 3.3 风险评估工具 3.4 风险评估模式分析 3.5 风险评估与等级保护、认证认可的关系

3.1 风险评估的脚色和责任
? 信息系统风险评估的参与角色一般有主 管机关、信息系统拥有者、信息系统承 建者、信息系统安全评估服务机构、信 息系统的关联者(即因信息系统互联、 信息交换和共享、系统采购等行为与该 系统发生关联的机构)。

3.2 风险评估方法
? 基本风险评估方法
? 基本的风险评估是只利用直接和简单的方法达到 基本的安全水*,就能满足组织及其业务环境的 所有要求。
? 详细风险评估方法
? 详细的风险评估就是对资产、威胁和脆弱性进行 详细的识别与评价,详细的风险评估结果被用于 风险评估和安全控制措施的识别和选择。

3.2 风险评估方法(续)
? 联合风险评估方法
? 这种方法首先使用基本的风险评估方法, 识别信息安全管理体系范围内具有潜在高 风险或对业务运作极为关键的资产,然后 根据基本的风险评估的结果,将信息安全 管理体系范围内的资产分为两类,一类需 要应用详细的风险评估方法以达到适当保 护,另一类通过基本的风险评估方法就可 以满足组织的需要了。

3.3 风险评估工具
? 目前对风险评估工具的分类还没有一个统一的理解。 通常情况下技术人员会把漏洞扫描工具称为风险评 估工具,很多文献中提到的风险评估工具也就是指 漏洞评估扫描器。
? 但是随着人们对信息资产的深入理解,发现信息资 产不只包括存在于计算机环境中的数据、文档,信 息在组织中的各种载体中传播,包括纸质载体、人 员等,因此信息安全包括更广泛的范围。

3.3 风险评估工具(续)
? 在此基础上,许多国家和组织都建立了针对 于预防安全事件发生的风险评估指南和方法。 基于这些方法,开发出了一些工具,如 CRAMM、CORBA等,这些工具统称为风险 评估工具。
? 北京知识安全工程中心推出的Crisk方法与 Crisk评估工具。

3.4 风险评估的模式分析
? 根据评估方与被评估方的关系,他们和信息资产的关 系分为:
? 自评估 是信息系统拥有者依靠自身力量,对自有的信息系 统进行的风险评估活动。
? 检查评估 由信息安全主管机关或业务主管机关发起,旨在 依据已经颁布的法规或标准,检查被评估单位是否满足了这 些法规或标准。
? 委托评估 指信息系统使用单位委托具有风险评估能力的专 业评估机构(国家建立的测评认证机构或安全企业)实施的 评估活动。

3.4 风险评估与等级保护、认证认可关系
? 右图表示了信息系统安全建 设中的主要工作,可从中看 到等级保护、认证认可、风 险评估在信息系统安全建设 中的位置。

总结
? 一次成功的风险管理计划取决于:
? 高层管理部门的支持; ? 信息团队的全力支持与参与; ? 风险评估团队的能力; ? 用户的意识和合作; ? 对与信息相关的使命风险进行持续的评价和评估。


相关推荐

最新更新

猜你喜欢