课程精要CISP课程信息安全风险管理.docVIP

CISP-信息安全风险管理 、思想 1、 安全与风险，安全是可接受的低风险或风险可控，安全本质 上是风险管理。信息安全保障是基于对风险管理的理解，而实施 的一系列的措施（GB/T20274） 2、 风险管理，风险、处置则风险识别和风险的控制。 风险管理（管控）=风险识别+风险处置（控制） 二、基本要素及含义 1、 资产：凡是有价值的事物，资产分类： ?硬件资产和软件资产 -物理资产和逻辑资产， eg设备和逻辑结构（协议、算法） -有形资产和无形资产 -静态资产和动态资产 Eg ISMS文档文件VS对应的体系管理能力 因此，1）必须同一个维度，不能漏、不能重复。 2）资产描述的时候要完备性。避免！ 资产梳理：1）业务分解梳理方式。 2）资产识别是风险评估的一个工作。 2、 脆弱性（内） 脆弱性、漏洞、弱点、不足、缺陷?…… 脆弱性识别（漏洞扫描器、配置核查、ISMS-C） 显性、隐性的。 3、 威胁（外） 威胁源-威胁的路径（方式、手段）-威胁的对象 威胁的程度 4、 可能性 针对一个资产来讲，威胁和脆弱性共同发生作用的概率。 5、 安全事件 安全风险管理中，风险变为现实的一种假定。 6、 安全事件的影响 内部影响、组织外部影响。 三个要素：系统重要性、系统损失、社会影响。 7、 风险 尚未发生安全事件及带来的影响。 8＞风险处置 -降低风险 -规避风险 -转移风险 -接受风险 9、残余风险 -经过风险处置后还剩下的风险 -风险处置后较近的时期内** 三、基本要素 1、 资产、脆弱性、威胁被称为风险三要素，或资产、脆弱性、 威胁、现有安全措施称为风险四要素。 2、 风险评估：准备环节，风险要素识别环节（资产、脆弱性、 威胁、现有安全措施），风险分析环节（可能性、安全事件及影 响），风险报告环节（风险高低及报告结果、提出风险处置的建 议）。 3、 风险管理： 1） 背景建立、风险评估、风险处置、批准监督。 2） 四个过程中，有两个贯穿：沟通咨询、监控审查 四、风险管理的6部分 四个阶段： 1、 背景建立 单位属性、业务范围、业务特点、组织工作目标、地理位置、 发展战略、资金投入等等。 2、 风险评估 -准备环节：人员、工具、计划、方案等。 -风险要素识别环节（资产、脆弱性、威胁、现有安全措施） - 风险分析环节（可能性、安全事件及影响）*** -风险报告环节（风险高低及报告结果、提出风险处置的建 议）。 3、 风险处置 -风险处置计划、方案 -风险处置措施（降低、规避、转移、接受） -跟踪和验证 4、批准监督 -对1-3工作的审核、认可、确认。 ?领导层对风险管理执行层工作的认可。 两个贯穿： 1、 沟通咨询 2、 监控审查： 一致性监控审查、进度成本方面控制、偏差的纠正。 四、 风险管理在信息系统各个阶段上的体现 1、 立项阶段 2、 开发阶段 3、 运行阶段 4、 废弃阶段 风险（漏洞）：设计型、开发型、运行型 Eg TCP 五、 风险评估 1、 方式：自评估、检査评估、第三方、等级保护测评 2、 风险评估的政策 3、 风险评估的过程 准备、识别、分析、报告 准备环节，风险要素识别坏节（资产、脆弱性、威胁、现有 安全措施），风险分析环节（可能性、安全事件及影响），风险报 告坏节（风险高低及报告结果、提出风险处置的建议）。 4、 风险评估方法 1） 定性方法：容易执行、依赖于经验、投入成本较低；无法 衡量经济损失等。 2） 定量方法：直观、精确、投资收益分析；不足依赖于复杂 过程、工具、程序、算法等。 3） 半定量（结合），要素识别的采用定性，要素的综合分析 采用定量。 5、 公式 AV、EF、SLE、ARO、ALE ALE=SLE*ARO= （AV*EF） *ARO 投资收益。