信息安全风险管理汇编.ppt

信息安全风险管理 10.1 风险管理概述 “知己知彼，百战不殆。 知己而不知彼，即便获得胜利也损失惨重。既不知已又不知彼，每仗必败。” 为了取得信息安全管理的胜利，必须知己知彼。 10.1.1 知己 首先必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。 要想保护资产就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。 资产在这里是指信息及使用、存储和传输这些信息的系统。 10.1.2 知彼 知彼，这就意味着识别、检查并熟悉机构面临的威胁。 必须确定出对机构信息资产的安全影响最直接的威胁。 然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级列表。 10.1.3 利益团体的作用 机构中的每一个利益团体都有责任管理机构面临的风险，可以从以下三方面的分析中看出： 1.信息安全 因为信息安全团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。 10.1.3 利益团体的作用 2.管理人员 管理人员和用户经过适当的培训，会对机构面临的威胁有着清醒的认识，在早期的检测和响应阶段起一定的作用。 3. 信息技术 利益团体必须建立安全的系统，并且安全的操作这些系统。 例如，IT操作应进行合理的备份，以避免硬盘故障引起的风险。 10.2 风险管理的基本概念 10.2.1 资产相关概念 1．资产 所谓资产就是被组织赋予了价值、需要保护的有用资源。 在信息安全体系范围内，一项非常重要的工作就是为资产编制清单。 每项资产都应该清晰地定义，合理地估价， 在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。 10.2.1 资产相关概念 2．资产的价值 资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。 为了明确对资产的保护，有必要对资产进行估价， 其价值大小不仅仅要考虑其自身的价值， 还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。 10.2.1 资产相关概念 因此，在信息系统中资产的价值可以用 信息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。 10.2.1 资产相关概念 3．威胁 威胁是指可能对资产或组织造成损害的事故的潜在原因。 例如，网络系统可能受到来自计算机病毒和黑客攻击的威胁。 4．脆弱性 所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用，造成安全事件的发生，从而对资产造成损害。 脆弱性本身并不会引起损害，它只是为威胁提供了影响资产安全性的条件。 10.2.2 风险管理的相关概念 1．安全风险 所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性， 即特定威胁事件发生的可能性与后果的结合。 通过确定资产价值及相关威胁与脆弱性的水平，可以得出风险的度量值。 10.2.2 风险管理的相关概念 即对信息和信息处理设施的威胁、影响（指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 10.2.2 风险管理的相关概念 风险评估的主要任务包括： ·识别组织面临的各种风险； ·评估风险概率和可能带来的负面影响； ·确定组织承受风险的能力； ·确定风险降低和控制的优先等级； ·推荐风险降低对策。 风险评估也就是确认安全风险及其大小的过程，即利用适当的风险评估工具， 包括定性和定量的方法，确定资产风险等级和优先控制顺序。 10.2.2 风险管理的相关概念 2．风险管理 所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 风险管理通过风险评估来识别风险大小，通过制定信息安全方针，使风险被避免、转移或降至一个可被接受的水平。 风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。 10.2.2 风险管理的相关概念 在风险管理过程中，有几个关键的问题需要考虑。 第一，要确定保护的对象是什么？它的直接和间接价值如何？ 第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？ 第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？ 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 最后，组织应该采取怎样的安全措施才能将风险带来的损失降到最低？解决以上问题的过程，就是风险管理的过程。 10.2.2 风险管理的相关概念 这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析这个概念。 实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。 当然，如果细究起来，风险