试论软件企业中的信息安全风险管理论文.docVIP

　　试论软件企业中的信息安全风险管理论文 .freelS的范围，那么风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中，我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中 3．风险分析 风险分析是标识安全风险，确定其大小和标识需要保护措施地区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法，主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性，相对于威胁发生的可能性，该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围)，并采用从不同来源中得到的数据进行分析，其主要步骤集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考数据。在软件企业进行风险分析时，因为定量分析方法中的数值、数据不易获取，我们通常采用定性分析方法。风险分析又包括以下4个方面，针对定性分析方法，具体过程如下： (1)识别评估资产。 在ISMS中所识别评估的资产有别于常见的固定资产，这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时，我们需要选择适合的分类原则和识别粒度。在软件企业中，通常把资产划分为硬件、软件等方面，还需要对这些方面进行细分，也就是进行二级分类。 在评估资产时，我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值： ①资产属于“高”等级重要度，赋值为“3”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成严重或无法挽回的经济损失； ②资产属于“中”等级重要度，赋值为“2”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成一定的经济损失； ③资产属于“低”等级重要度，赋值为“1”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成轻微的经济损失。 (2)识别评估威胁。 我们应该清楚威胁一定是与资产相对应的，某一资产可能面临多个威胁。在识别威胁时，我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后，综合考虑威胁源的动机、能力和行为，对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁，这种威胁动机、能力较强。 (3)识别评估脆弱性。 脆弱性可以理解为资产可以被某种威胁所利用的属性，一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性，通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁，软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。 (4)识别评估控制措施。 在我们识别出威胁和脆弱性之后，我们要针对威胁利用脆弱性产生的风险，来识别组织自身是否已经采取控制措施，并采取叙述性数值的方式来描述已采取控制措施的有效性，评估的标准由组织进行制定，例如控制措施有效性可以定义进行如下定义和赋值： ①控制措施影响程度为“好”，赋值为“1”，该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果，能够满足公司的信息安全管理要求； ②控制措施影响程度为“中”，赋值为“2”，该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果，需要增加辅助的控制措施满足公司信息安全管理要求； ③控制措施影响程度为“低”，赋值为“3”，该类控制措施已经对信息资产威胁和脆弱性未起到控制效果，需要重新制定新的控制措施满足公司信息安全管理要求。 控制措施的有效性是我们风险评价的依据之一。 4．风险评价 风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程，其结果是具有不同等级的风险列表，目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程： (1)分析评估可能性和影响。 “可能性”指威胁利用脆弱性的可能性，“影响”指威胁利用脆弱性后，对组织资产造成的影响。在分析可能性时，我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时，依据组织制定的评估准则，对可能性进行描述，例如将可能性进行如下定义和赋值： ①可能性级别“高”，赋值为“1”，威胁源具有强烈动机和足够的能力，防止脆弱性被利用的防护措施是无效的； ②可能性级别“中”，赋值为“0．5”，威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用； ③可能性级别“低”，赋值为“0”，威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止—