05-ISOIEC27001：2013-标准系列培训课程-信息安全风险管理.ppt

* * * * * 风险处置 预防性控制措施：在问题发生前，并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件，只允许授权用户访问敏感文件 检查性控制措施：检查控制发生的错误、疏漏或蓄意行为 网络通信过程中的Echo控制 内部审计 纠正性控制措施：减少危害影响，修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程 控制措施 威胁、脆弱性和控制措施的关系示意图 风险处置 控制措施 威胁、脆弱性和控制措施的关系示意图 Information Security Incident 信息安全事件管理 BCM 业务连续性管理 Human 人员安全 Physical 物理安全 Information System 系统获得/开发/维护 Operation 操作安全 Access Control 访问控制 Access Control 访问控制 Asset 资产管理 Organization 组织安全 Policy 方针目标 Compliance 合规性 Compliance 合规性 Compliance 合规性 Compliance 合规性 Communication 通信安全 Supplier 供应关系 Cryptography 密码学 风险处置 控制措施制定思路 决策层—控制策略 管理层—控制程序 执行层—控制制度 操作层—控制记录 控制措施 威胁、脆弱性和控制措施的关系示意图 风险处置 准备和实施风险处置计划 选择最合适的风险处理方案包括，针对以法律法规和诸如社会责任和自然环境保护的其他要求所获得的利益，平衡成本和实施的工作量。决策也宜考虑可以批准在经济层面上不合理的风险处理的风险，例如，严重的（高负面后果）但稀少（低可能性）的风险。 风险处理计划的目的是将如何实施已选择的处理措施形成文件。将要实施的风险处理方案。处理计划中提供的信息宜包括： —— 选择风险处理措施的原因，包括所期待获得的效益； —— 负责改进和实施计划的人员； —— 建议的措施； —— 资源需求，包括紧急情况时； —— 绩效测量和控制； —— 汇报及监测要求； —— 时间和日程安排。 处理计划宜组织管理过程整合并与适当的利益相关方讨论。 决策者和其他利益相关方宜意识到风险处理后残留风险的性质和程度。残留风险宜形成文件并进行监测、评审，适当时，进一步处理。 信息安全风险管理 确定环境信息 1 风险评估 2 风险处置 3 风险接受 ４ 沟通与磋商 ５ 监视和评审 ６ 信息安全风险管理过程 风 险 评 估 环境建立 风险识别 风险分析 风险评价 风险处置 风险接受 满足？ 满足？ 风险沟通 和 磋 商 风险监视和评审 风险决策点1 评估满足 风险决策点2 处置满足 NO NO YES YES 第一次结束 或随后重复 信息安全风险管理过程 风险接受 风险处置计划 残余风险报告 输入 未能满足正常风险接受准则，但被接受的风险清单，并附带接受的理由 输出 风险接受决策 记录风险决策接受责任 过程 实施指南 信息安全风险管理 确定环境信息 1 风险评估 2 风险处置 3 风险接受 ４ 沟通与磋商 ５ 监视和评审 ６ 信息安全风险管理过程 风 险 评 估 环境建立 风险识别 风险分析 风险评价 风险处置 风险接受 满足？ 满足？ 风险沟通 和 磋 商 风险监视和评审 风险决策点1 评估满足 风险决策点2 处置满足 NO NO YES YES 第一次结束 或随后重复 信息安全风险管理过程 沟通与磋商 沟通与磋商 与内、外部利益相关方沟通和协商宜在风险管理过程所有阶段进行。因此，沟通和协商计划宜在早期制定。该计划宜针对与风险本身、风险成因、风险后果（如果掌握）以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确，以及利益相关方理解决策的基础和特定措施需求的原因，宜采取有效的外部和内部沟通和协商。 协商团队方法可以： —— 适当地帮助明确状况； —— 确保利益相关方的利益被理解和考虑； —— 帮助确保风险充分地被识别； —— 将不同领域的专业知识一并用于分析风险； —— 确保在界定风险准则和评定风险时，不同的观点被恰当地考虑； —— 确保认同和支持处理计划； —— 加强在风险管理过程中的变更管理； —— 制定一个恰当的内部和外部沟通和协商计划。 与利益相关方的沟通协商是重要的，由于他们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益相关方的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关方的观点会对决策产生重大影响，因此他们的感知以被识别、记录、以及