CISP信息安全风险管理.ppt

* * * * * 体检：自评估-自己头疼感冒吃药 检查评估-上医院看病，医生检查。 * * 后果或影响的定性量度（示例） 等级 描述 详细情形 1 可以忽略 无伤害，低财务损失 2 较小 立即受控制，中等财务损失 3 中等 受控，高财务损失 4 较大 大伤害，失去生产能力有较大财务损失 5 灾难性 持续能力中断，巨大财务损失 定性分析方法 * 可能性的定性量度（示例） 等级 描述 详细情形 A 几乎肯定 预期在大多数情况发生 B 很可能 在大多数情况下很可能会发生 C 可能 在某个时间可能会发生 D 不太可能 在某个时间能够发生 E 罕见 仅在例外的情况下可能发生 定性分析方法 * 风险分析矩阵—风险程度 可能性 后果 可以忽略 1 较小 2 中等 3 较大 4 灾难性 5 A（几乎肯定） H H E E E B （很可能） M H H E E C ( 可能） L M H E E D（不太可能） L L M H E E （罕见） L L M H H E：极度风险 H：高风险 M：中等风险 L: 低风险 定性分析方法 * 定性分析方法-矩阵法 根据预设的等级划分规则判定风险结果。 依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。 * 定性分析方法-相乘法 （1）计算安全事件发生可能性 威胁发生频率：威胁T1=1； 脆弱性严重程度：脆弱性V1=3。 安全事件发生可能性= （2）计算安全事件的损失 资产价值：资产A1=4； 脆弱性严重程度：脆弱性V1=3。 计算安全事件的损失，安全事件损失= （3）计算风险值 安全事件发生可能性=2； 安全事件损失=3。 安全事件风险值= （4）确定风险等级 * 定性分析与定量分析 * 方法 优点 缺点 定量 按经济影响排列风险优先级；按经济价值排列资产价值 风险管理的效果以投资回报率衡量 结果可用因管理而异的术语来表达（例如货币值和表达为具体百分比 随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高 – 风险影响值以参与者的主观意见为基础 –取得风险一致意见的过程非常耗时。 – 计算可能会非常复杂且耗时。 – 风险结果以财务术语表达，对非技术性人员而言可能难以解释。 – 流程要求专业技术，因此参与者无法轻松通过流程获得指导。 定性 –风险排名具有可见性，易于理解。 – 更容易达成一致意见。 – 无需量化威胁发生频率。 – 无需确定资产的财务价值。 – 更便于不是安全或计算机专家的人员参与。 – 重要风险之间没有显著区别。 –因为没有成本效益分析，很难证明控制措施的投资是合理的。 – 结果取决于风险管理小组人员的主观判断。 （三）风险评估工作形式 信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 * 风险评估的工作形式—自评估 由发起方实施或委托风险评估服务技术支持方实施。 优点： 有利于保密 有利于发挥行业和部门内的人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识 缺点 可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。 建议方法 委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。 * 风险评估的工作形式—检查评估 检查评估 是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 优点： 最具权威性。 通过行政手段加强信息安全的重要措施。 缺点： 间隔时间较长，一般是抽样进行，难于贯穿信息系统的生命周期。 * （四）风险评估工具 风险评估与管理工具 一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验，对输入输出进行模型分析。 系统基础平台风险评估工具 主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。 风险评估辅助工具 实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要