网络安全 第 12章 信息安全风险管理与评估.pptVIP

* 第 12 章 信息安全风险管理与评估 本章要点 (1)风险管理概述 (2)风险管理的过程 (3)风险评估概述 (4)国内外风险评估标准 12.1 风险管理概述 进行风险管理的目标主要有 3 点。首先是为了 更好地保护存储、处理、传输组织信息的 IT 系统；其 次，通过管理的手段做出相应的风险管理决策进而提出 正当开销作为 IT 预算的一部分；最后，以风险管理执 行后导出的支持文档为基础，在管理方面协助对系统的 批准。 12.2 风险管理的过程 风险管理在项目管理中有非常重要的地位，具体来 说其重要性表现在以下几个方面： 12.2．1 风险识别 风险识别过程的活动是将不确定性转变为明 确的风险陈述。包括下面几项，它们在执行时可能是重 复，也可能是同时进行的。 12.2．2 风险分析 风险分析过程的活动是将风险陈述转变为按 优先顺序排列的风险列表。 12.2．3 风险计划 风险计划过程的活动是将按优先级排列的风 险列表转变为风险应对计划。包括以下内容： (1)制定风险应对策略。风险应对策略有接受、 避免、保护、减少、研究、储备和转移几种方式。 (2)制定风险行动步骤。风险行动步骤详细说 明了所选择的风险应对途径。它将详细描述处理风险的 步骤。 12.2．4 风险跟踪 风险跟踪过程的活动包括监视风险状态以及 发出通知启动风险应对行动，包括以下内容： (1)比较阈值和状态。通过项目控制面板来获 取。如果指标的值在可接受标准之外，则表明出现了不 可接受的情况。 (2)对启动风险进行及时通告。对要启动的风 险，在每天的晨会上通报给全组人员，并安排负责人进 行处理。 (3)定期通报风险的情况。在定期的会议上通 告相关人员目前的主要风险以及它们的状态。 12.2．5 风险应对 风险应对过程的活动是执行风险行动计划，以 求将风险降至可接受程度，包括以下内容： (1)对触发事件的通知做出反应。得到授权的 个人必须对触发事件做出反应。适当的反应包括回顾当 前现实以及更新行动时间框架，并分派风险行动计划。 (2)执行风险行动计划。应对风险应该按照书 面的风险行动计划进行。 (3)对照计划，报告进展。确定和交流对照原 计划所取得的进展。定期报告风险状态，加强小组内部 交流。小组必须定期回顾风险状态。项目管理者联盟， 项目管理问题。(4)校正偏离计划的情况。有时结果不 能令人满意，就必须换用其他途径。将校正的相关内容 记录下来。 12.3 风险评估概述 12.3．1 风险评估简介 风险评估(Risk Assessment)有时候也称为风险 分析，是组织使用适当的风险评估工具，对信息和信息 处 理 设 施 的 威 胁 (Threat) 、 影 响 (Impact) 和 薄 弱 点 (Vulnerability)及其发生的可能性的评估， 也就是确认安 全风险及其大小的过程。它是风险管理的重要组成部 分。 12.3.2 主要风险评估方法 主要的风险评估方法有以下 6 种： 1．定制个性化的评估方法 2．安全整体框架的设计 3．多用户决策评估 4．敏感性分析 5 集中化决策管理 6．评估结果管理 12.4 国内外风险评估标准 关于风险评估理论标准，国际上较为认可的有 IS0／IEC l3335 IT 安全管理指南、AS／NZS 4360 风险 管理标准、BS 7799—1(IS0／IEC l7799)基于风险管理 的信息安全管理体系等几种，这些均对风险评估给予了 明确的定义和指导。 与风险评估相关的标准还有 NIST SP800，其 中，NIST SP800—53／60 描述了信息系统与安全目标 及风险级别对应指南，NIST SP800—26／30 分别描述 了自评估指南和风险管理指南。 另外，COBIT、ITIL 等逐渐引起人们的关注。 目前业内使用的评估方法，基本是由这几类标准演化而 来。在具体国家的应用方面，美国有 TCSEC 标准，我 国有计算机安全等级划分标准，下面对这两个标准加以 介绍。 12.4．1 美国信息安全评估标准 12.4.2 我国信息安全评估标准 《准则》对计算机信息系统安全保护能力划分了 5 个等级，计算机信息系统安全保护能力