2015版-CISP0302信息安全风险管理_v3.0预案.pptVIP

* * * * * * 谢谢，请提问题！ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 自评估 信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估 * 由发起方实施 优点 有利于降低实施的费用 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于提高相关人员的安全意识和评估能力 缺点 可能结果不够深入准确 客观性易受影响 由受委托方实施 优点 过程比较规范 客观性比较好 缺点 对业务了解存在局限性 不利于保密 检查评估 信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估 * 优点 具权威性 通过行政手段加强信息安全，具强制性 缺点 间隔时间较长，难以贯穿信息系统的生命周期 一般是以抽样的方式进行，难以覆盖全部评估对象 风险评估、检查评估和等级保护测评之间的关系 等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评，其中等保测评是符合国家安全要求的测评，安全检查是符合行业主管安全要求的符合性测评 而风险评估是在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动 * 知识域：信息安全风险评估 知识子域： 风险评估方法 理解定性风险分析方法 理解定量风险分析方法，掌握年度预期损失（ALE）的计算方法 理解半定量风险分析方法 理解定性和定量风险分析方法的优缺点 * 定性风险分析 定性风险分析在风险评价时，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险诸要素的大小或高低程度定性分级 定性风险分析更具主观性 后果或影响的定性量度（示例） * 等级 描述 详细情形 1 可以忽略 无伤害，低财务损失 2 较小 立即受控制，中等财务损失 3 中等 受控，高财务损失 4 较大 大伤害，失去生产能力有较大财务损失 5 灾难性 持续能力中断，巨大财务损失 可能性的定性量度（示例） 等级 描述 详细情形 A 几乎肯定 预期在大多数情况发生 B 很可能 在大多数情况下很可能会发生 C 可能 在某个时间可能会发生 D 不太可能 在某个时间能够发生 E 罕见 仅在例外的情况下可能发生 定性风险分析 * 根据预设的等级划分规则判定风险结果 依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级 可能性 影响 可以忽略 1 较小 2 中等 3 较大 4 灾难性 5 A（几乎肯定） H H E E E B （很可能） M H H E E C ( 可能） L M H E E D（不太可能） L L M H E E （罕见） L L M H H E：极度风险 H：高风险 M：中等风险 L: 低风险 定性风险分析——矩阵法 * 定量风险分析 定量风险分析试图是在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值，定量风险分析更具客观性 例如，用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各项资产的真实价值 定量分析主要试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量 因为定量分析处理数字和金额价值，它必须有公式 * 定量风险分析——年度预期损失法 步骤1 - 评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响 步骤2 - 确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额 SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失 （SLE 类似于定性风险分析的影响） 将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比 步骤3 - 确定年发生率ARO ARO 是一年中风险发生的次数 * 步骤4 - 确定年预期损失ALE ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值（ALE 类似于定性风险分析的相对级别） 步骤5 - 确定控制成本 控制成本就是为了规避企业所存在风险的发生而应投入的费用 步骤6 - 安全投资收益ROSI ROSI = (实施控制前的ALE）–（实施控制后的ALE） –（年控制成本） * 定量风险分析——年度预期损失法（续） 定性分析与定量分析 * ? 定量 定性 优点 结果可用货币值和具体数据（如百分比）来表达 按财务影响确定风险优先级；按财务价值确定资产优先级 通过安全投资收益分析推动风险管理 随着组织建立的历史数据记录而获得经