课程精要CISP课程—信息安全风险管理.docVIP

CISP-信息安全风险管理 思想 安全与风险，安全是可接受的低风险或风险可控，安全本质上是风险管理。信息安全保障是基于对风险管理的理解，而实施的一系列的措施（GB/T 20274） 风险管理，风险、处置则风险识别和风险的控制。 风险管理（管控）=风险识别+风险处置（控制） 基本要素及含义 资产：凡是有价值的事物，资产分类： - 硬件资产和软件资产 - 物理资产和逻辑资产， eg 设备和逻辑结构（协议、算法） - 有形资产和无形资产 - 静态资产和动态资产 Eg ISMS文档文件VS对应的体系管理能力 因此，1）必须同一个维度，不能漏、不能重复。 2）资产描述的时候要完备性。避免！ 资产梳理：1）业务分解梳理方式。 2）资产识别是风险评估的一个工作。 脆弱性（内） 脆弱性、漏洞、弱点、不足、缺陷 ....... 脆弱性识别（漏洞扫描器、配置核查、ISMS-C） 显性、隐性的。 威胁（外） 威胁源-威胁的路径（方式、手段）-威胁的对象 威胁的程度 可能性 针对一个资产来讲，威胁和脆弱性共同发生作用的概率。 安全事件 安全风险管理中，风险变为现实的一种假定。 安全事件的影响 内部影响、组织外部影响。 三个要素：系统重要性、系统损失、社会影响。 风险 尚未发生安全事件及带来的影响。 风险处置 - 降低风险 - 规避风险 - 转移风险 - 接受风险 残余风险 - 经过风险处置后还剩下的风险 - 风险处置后较近的时期内** 三、基本要素 资产、脆弱性、威胁被称为风险三要素，或资产、脆弱性、威胁、现有安全措施称为风险四要素。 风险评估：准备环节，风险要素识别环节（资产、脆弱性、威胁、现有安全措施），风险分析环节（可能性、安全事件及影响），风险报告环节（风险高低及报告结果、提出风险处置的建议）。 风险管理： 1）背景建立、风险评估、风险处置、批准监督。 2）四个过程中，有两个贯穿：沟通咨询、监控审查 四、风险管理的6部分 四个阶段： 1、背景建立 单位属性、业务范围、业务特点、组织工作目标、地理位置、发展战略、资金投入等等。 风险评估 - 准备环节：人员、工具???计划、方案等。 - 风险要素识别环节（资产、脆弱性、威胁、现有安全措施） - 风险分析环节（可能性、安全事件及影响）*** - 风险报告环节（风险高低及报告结果、提出风险处置的建议）。 风险处置 - 风险处置计划、方案 - 风险处置措施（降低、规避、转移、接受） - 跟踪和验证 批准监督 - 对1-3工作的审核、认可、确认。 - 领导层对风险管理执行层工作的认可。 两个贯穿： 沟通咨询 监控审查: 一致性监控审查、进度成本方面控制、偏差的纠正。 风险管理在信息系统各个阶段上的体现 立项阶段 开发阶段 运行阶段 废弃阶段 风险（漏洞）：设计型、开发型、运行型 Eg TCP 风险评估 方式：自评估、检查评估、第三方、等级保护测评 风险评估的政策 风险评估的过程 准备、识别、分析、报告 准备环节，风险要素识别环节（资产、脆弱性、威胁、现有安全措施），风险分析环节（可能性、安全事件及影响），风险报告环节（风险高低及报告结果、提出风险处置的建议）。 风险评估方法 1）定性方法：容易执行、依赖于经验、投入成本较低；无法衡量经济损失等。 2）定量方法：直观、精确、投资收益分析；不足依赖于复杂过程、工具、程序、算法等。 3）半定量（结合），要素识别的采用定性，要素的综合分析采用定量。 公式 AV、EF、SLE、ARO、ALE ALE=SLE*ARO=（AV*EF）*ARO 投资收益。 ————————————