风险评估与管理.ppt

风险评估与管理 与风险评估和风险管理相关的概念解析 信息安全风险管理的一般过程 风险评估与风险管理的其它问题 1 概念解析 1.1 与 过程相关的概念 概念解析1 - 风险 风险（risk） 风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。 对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。 概念解析1 - 风险（续） 在ISO/IEC GUIDE73将事件定义为： 事件的概率及其结果的组合。 注1 通常，只有至少存在产生不利结果可能性的情况下才使用“风险”术语。 注2 在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。 概念解析2 - 风险管理 风险管理(Risk management) 风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。 风险管理被认为是良好管理的一个组成部分。 概念解析2 - 风险管理 对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括： 概念解析3 - 风险评估 风险评估(risk assessment) 风险评估指风险分析和风险评价的整个过程。 风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。 通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在组织可以接受的范围之内。 概念解析3 - 风险评估（续） 区分风险评估和风险管理 风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期，通常以一定的间隔重新开始，来更新流程中各个阶段的数据。风险管理是一个持续循环，不断上升的过程。 风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。 概念解析4 - 风险分析 风险分析(risk analysis) 风险分析是标识安全风险，确定其大小和标识需要保护措施的区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处理提供数据。 概念解析4 - 风险分析（续） 就风险分析的方法而言，目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手，可以信任，且能产生可比较、可再现性的结果才是最重要的。 尽管评估风险的方法有很多，但是大多数方法都是基于两种方法或两种方法的组合：定性的分析方法和定量的分析方法。 概念解析4 - 风险分析（续） 定性分析方法 定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。 该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。 概念解析4 - 风险分析（续） 定量分析方法 定量分析方法在后果和可能性分析中采用数值（不是定性分析中所使用的叙述性数值范围），并采用从各种各样的来源中得到的数据。 定量分析步骤主要集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考依据。 概念解析4 - 风险分析（续） 定性风险分析示例（此示例来源于ISO/IEC13335-3） 概念解析4 - 风险分析（续） 步骤1：结果或影响的定性量度 概念解析4 - 风险分析（续） 步骤2：可能性的定性量度 概念解析4 - 风险分析（续） 步骤3：从而得出风险分析矩阵 概念解析4 - 风险分析（续） 定量风险分析的示例: 概念解析4 - 风险分析（续） 计算风险的年预期损失 ALE: Annual Risk Expectancy年预期损失 ARO: Annual Rate of Occurrence 年发生率 SLE: Single Loss Expectancy单一风险预期损失 ALE=ARO*SLE 概念解析4 - 风险分析（续） 两种方法的比较： 目前风险分析方法以定性分析为主。 由于定性的分析方法不是用数学或统计的工具将风险模型化，因此一次风险评估的成败与执行者的经验有很大的关系。 定量方法有一些固有的难以克服的明显缺点。 具体对比见下表： 概念解析4 - 风险分析（续） 比较： 概念解析5 - 风险评价 风险评价(risk evaluation) 是把前些步骤识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。 风险评价的结果为具有不同等级的风险列表。 概念解析5 - 风险评价（续） 目前在风险评价的方法上，国际上一直还在