信息安全技术风险管理汇.ppt

准备工作（风险接受准则） 风险接受准则可以包括带有风险期望目标级别的多道门槛，但在确定的情形下，提交给高层管理者接受的风险可能超出该级别 风险可接受准则可以用估算收益（或业务收益）与估算风险的比值来描述 对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险 风险接受准则可以包括下一步的补充处置要求，例如，如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别，则风险可以被接受 准备工作（范围和边界） 在定义范围和边界时，组织应该考虑以下信息： ? 组织的业务战略目标、策略和方针 ? 业务过程 ? 组织的职能和结构 ? 适用于组织的法律法规和合同义务的要求 ? 组织的信息安全方针 ? 组织风险管理的整体方法 ? 信息资产 ? 组织的位置及其地理特性 ? 影响组织的约束条件 ? 利益相关方的期望 ? 社会文化环境 ? 界面（与环境的数据交换） 另外，组织对任何排除在范围之外的，都应该提供正当的理由。 准备工作（组织架构） 下面是信息安全风险管理过程组织架构的主要角色和职责： 开发适合组织的信息安全风险管理过程 识别和分析利益相关方 定义组织内、外部各方的角色和职责 在组织和相关利益方之间建立必要的联系，如组织高风险管理职能的接口（如运营风险管理），以及与其它项目或活动之间的接口 定义决策升级路径 说明需要保存的记录 组织架构应该得到组织的合适的管理者的批准。 识别资产并评价资产的重要性 资产是指对组织有价值的任何东西。 信息资产主要包括三个部分：信息本身、信息处理设施和信息处理人。 ISO/IEC 27002:2005给出了一个资产的示例，对信息分类标准应该满足以下两个基本条件： 所有的资产都能找到相对应的类； 任何资产只能有唯一的类相对应，而且必须保证这种对应是无歧义的。 基本资产 业务过程或活动 信息 支持性 资产 （基本资产所依赖的范围） 硬件 软件 网络 人员 场所 组织架构 基本资产 业务过程和活动 一旦丧失或降格将导致不能执行组织使命的过程 包括保密处理或专有技术的过程 如果被修改，可能极大影响组织使命的完成 组织满足合同、法律法规要求所需要的过程 信息 组织使命和业务运行的关键信息 个人信息，特别是作为国家法律所定义的个人隐私 完成战略方向所确定目标的所需战略性信息 高成本信息，收集、存储、处理、传输需要很长时间和/或导致很高的采购成本 支持性资产（硬件） 类型 示例 数据处理设备（主动） 自动的信息处理设备 可移动设备 笔记本电脑、个人数字助理（PDA） 固定设备 服务器、作为工作站的微型计算机 周边处理设备 打印机、可拆除磁盘驱动器 数据介质（被动） 用于存储数据或功能的介质 电子介质 软盘、光盘、备份磁带、可拆卸硬盘、内存棒、磁带 其他介质 包含数据的静态的、非电子介质。 纸张、幻灯片、透明胶片、文件、传真 支持性资产（软件） 类型 示例 操作系统 Windows, Linux, Unix 服务、维护和管理软件 补丁软件、系统监控软件 软件包或标准软件 数据库管理软件、电子消息软件、群组软件、目录软件、web 服务器软件 标准业务应用 财务软件、机床控制软件、客户管理软件、个人能力管理软件，行政管理软件 特定的业务应用 电信运营商的客户发票管理、火箭发射的实时监控应用程序 支持性资产（网络） 类型 示例 介质和支持设施 PSTN、以太网、ADSL、蓝牙、火线 主动或被动中继 网桥、路由器、集线器、交换机、自动交换设备 通讯接口 以太网接头、V.35 支持性资产（人员） 类型 示例 决策者 最高管理层、项目主管 用户 人力资源管理人员、财务管理人员、风险经理 运行/维护人员 系统管理员、数据管理员、备份、服务台、应用部署操作人员、安全官 开发人员 业务应用开发人员 支持性资产（场所） 类型 示例 外部环境 个人家庭，另一组织的场所、场所外的环境（市区、危险区） 房屋 宅院、大楼 区域 办公室、限制进入区、安全区 基本服务 组织设备运行所必需的所有服务。 通讯 电话线、内部电话网 工具 低电压电源、变压器、电路前端、空调 支持性资产（组织架构） 类型 示例 权力机构 行政机构、组织的总部 组织的结构 人力资源管理、IT管理、采购管理、业务部门管理、大楼安保服务、消防服务、审计管理 项目或系统的组织 新应用开发项目、信息系统迁移项目 分包方/供应商/生产商 设备管理公司、外包公司、咨询公司 识别资产 目前对于资产的识别和评估并没有很成熟的方法，在识别时应细致到什么程度也没有统一 的标准。 组织应该按照实践中的经验，摸索出自己的方法。 评价资产 评价资产可以用定