09-CISP0302信息安全风险管理(知识点标注版)-v3.0.pptVIP

知识域：信息安全风险评估 知识子域： 风险评估方法 理解定性风险分析方法 理解定量风险分析方法，掌握年度预期损失（ALE）的计算方法 理解半定量风险分析方法 理解定性和定量风险分析方法的优缺点 * 定性风险分析 定性风险分析在风险评价时，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险诸要素的大小或高低程度定性分级 定性风险分析更具主观性 后果或影响的定性量度（示例） * 等级 描述 详细情形 1 可以忽略 无伤害，低财务损失 2 较小 立即受控制，中等财务损失 3 中等 受控，高财务损失 4 较大 大伤害，失去生产能力有较大财务损失 5 灾难性 持续能力中断，巨大财务损失 可能性的定性量度（示例） 等级 描述 详细情形 A 几乎肯定 预期在大多数情况发生 B 很可能 在大多数情况下很可能会发生 C 可能 在某个时间可能会发生 D 不太可能 在某个时间能够发生 E 罕见 仅在例外的情况下可能发生 定性风险分析 * * 根据预设的等级划分规则判定风险结果 依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级 可能性 影响 可以忽略 1 较小 2 中等 3 较大 4 灾难性 5 A（几乎肯定） H H E E E B （很可能） M H H E E C ( 可能） L M H E E D（不太可能） L L M H E E （罕见） L L M H H E：极度风险 H：高风险 M：中等风险 L: 低风险 定性风险分析——矩阵法 * * 定量风险分析 定量风险分析试图是在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值，定量风险分析更具客观性 例如，用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各项资产的真实价值 定量分析主要试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量 因为定量分析处理数字和金额价值，它必须有公式 * * 定量风险分析——年度预期损失法 步骤1 - 评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响 步骤2 - 确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额 SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失 （SLE 类似于定性风险分析的影响） 将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比 步骤3 - 确定年发生率ARO ARO 是一年中风险发生的次数 * * 风险评估过程 * * 风险处理 风险处理是为了将风险始终控制在可接受的范围内。 现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以 处理目标确认：不可接受的风险需要控制到怎样的程度 处理措施选择：选择风险处理方式，确定风险控制措施 处理措施实施：制定具体安全方案，部署控制措施 * 风险处理过程 * 减低风险 转移风险 规避风险 接受风险 常用的四类风险处置方法 * 减低风险 通过对面临风险的资产采取保护措施来降低风险 首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用 保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险 * * 减低风险的具体办法 减少威胁源 采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机 减低威胁能力 采取身份认证措施，从而抵制身份假冒这种威胁行为的能力 减少脆弱性 及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性 防护资产 采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持 降低负面影响 采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度 * 转移风险 通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险 * 购买保险 服务外包 规避风险 通过不使用面临风险的资产来避免风险。比如： 在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏 对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击 通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下 * 接受风险 接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果 用于