面向业务流程的信息安全风险评价方法研究-图书情报工作.PDFVIP

＜＜情报研究 　　 面向业务流程的信息安全风险评估方法研究 王艳玮　陈　恒 陕西师范大学国际商学院　西安７１００６２ 〔摘要〕通过对支撑组织业务运转的信息资产所处的位置和流动属性的分析，将传统的ＧＢ／Ｔ２０９８４－２００７中定义 的五种主要资产，即数据 软件 硬件 人员和服务划分为位置固定资产与位置变动资产；引入业务流程风险模 型以有效识别信息资产所在业务节点面对的风险；应用ＡＨＰ方法对资产建立风险等级层次模型确定风险的大 小，为后续的风险管理活动提供一个科学的风险等级划分依据并通过实例验证本方法的可用性。 〔关键词〕业务流程　信息安全风险评估　位置固定资产　位置变动资产　ＡＨＰ 〔分类号〕ＴＰ３０９ ＲｅｓｅａｒｃｈｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙＲｉｓｋＡｓｓｅｓｓｍｅｎｔＭｅｔｈｏｄＢａｓｅｄｏｎＢｕｓｉｎｅｓｓＰｒｏｃｅｓｓ ＷａｎｇＹａｎｗｅｉ　ＣｈｅｎＨｅｎｇ ＩｎｔｅｒｍａｔｉｏｎａｌＢｕｓｉｎｅｓｓＳｃｈｏｏｌｏｆＳｈａａｎｘｉＮｏｒｍａｌＵｎｉｖｅｒｓｉｔｙ，Ｘｉ’ａｎ７１００６２ 〔Ａｂｓｔｒａｃｔ〕Ｔｈｒｏｕｇｈａｎａｌｙｚｉｎｇｔｈｅｌｏｃａｔｉｏｎａｎｄｆｌｏｗｆｅａｔｕｒｅｓｏｆｉｎｆｏｒｍａｔｉｏｎａｓｓｅｔｓｗｈｉｃｈｓｕｐｐｏｒｔｔｈｅｂｕｓｉｎｅｓｓｏｐｅｒａｔｉｏｎ，ｄｉｖｉｄｅｓｔｈｅｔｒａ ｄｉｔｉｏｎａｌｃａｔｅｇｏｒｉｅｓｏｆａｓｓｅｔｓｉｎＧＢ／Ｔ２０９８４－２００７ｓｕｃｈａｓｄａｔａ，ｓｏｆｔｗａｒｅ，ｈａｒｄｗａｒｅａｎｄｔｈｅｓｅｒｖｉｃｅｉｎｔｏｐｏｓｉｔｉｏｎｆｉｘｅｄａｓｓｅｔｓａｎｄｐｏｓｉ ｔｉｏｎｃｈａｎｇｅａｓｓｅｔｓ；ｉｎｔｒｏｄｕｃｅｓｔｈｅｒｉｓｋｍｏｄｅｌｏｆｂｕｓｉｎｅｓｓｐｒｏｃｅｓｓｔｏｉｄｅｎｔｉｆｙｔｈｅｐａｒｔｉｃｕｌａｒｒｉｓｋｓｏｆｔｈｅｉｎｆｏｒｍａｔｉｏｎａｓｓｅｔｓｉｎｓｅｒｖｉｃｅｓ ｎｏｄｅ；ｉｎｔｒｏｄｕｃｅｓＡＨＰｍｅｔｈｏｄｔｏｅｓｔａｂｌｉｓｈｒｉｓｋｌｅｖｅｌｈｉｅｒａｒｃｈｉｃａｌｍｏｄｅｌｔｏｄｅｔｅｒｍｉｎｅｔｈｅｒｉｓｋｌｅｖｅｌａｎｄｐｒｏｖｉｄｅａｓｃｉｅｎｔｉｆｉｃｂａｓｉｓｆｏｒｆｏｌ ｌｏｗｕｐｒｉｓｋｍａｎａｇｅｍｅｎｔａｃｔｉｖｉｔｉｅｓ．Ａｎｄｔｈｅａｖａｉｌａｂｉｌｉｔｙｏｆｔｈｉｓｍｅｔｈｏｄｉｓｖｅｒｆｉｅｄｂｙａｎｅｘａｍｐｌｅ． 〔Ｋｅｙｗｏｒｄｓ〕ｂｕｓｉｎｅｓｓｐｒｏｃｅｓｓ　ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ　ｐｏｓｉｔｉｏｎｆｉｘｅｄａｓｓｅｔｓ　 ｐｏｓｉｔｉｏｎｃｈａｎｇｅｓａｓｓｅｔｓ　ＡＨＰ 量相结合的方法，其中层次分析法（ＡＨＰ）是最常用的 １　引　言 方法之一。然而迄今为止应用ＡＨＰ方法进行风险分 析所获得的结果仅是对信息系统的总体风险所占权重 　　近年来，计算机网络化迅速发展且初步形成规模， 的笼统描述，并不能清晰了解每项资产具体面对的风 有效地提升了组织业务的运行效率并极大地推动了信 险大小，往往在风险控制的过程中不能明确系统的风 息系统功能向多样化发展的步伐。然而，信息系统面 险具体是由哪些资产所引起，不利于对信息资产按照 临的内外部安全问题却日渐凸现。当安全事件发生 其潜在风险特征去实施保护。 后，如果组织的风险管理环节比较薄弱则很有可能引 　　因此，针对上述信息系统风险分析结果的缺陷，本 发国家重要军事及政治机密被泄漏的危机，使国家形 文提出一种面向业务流程的信息安全风险评估方法。 象声誉受损。因此，各国政