ISMS-4-信息安全风险评估与管理[参照].pptVIP

5.1.1 13335中的4种风险分析方法 非正式方法 Informal Approach 对所有系统进行非正规的、注重实效的风险分析。不是以结构法为基础，而是利用个人的知识和经验。如果在内部没有可用的安全专家，可请外部顾问进行分析。 优点：不需要额外学习新技能；实施较快，适合小组织。 缺点：1）没使用结构化方法，遗漏某些风险和关注范围的可能性增加；2）由于这种方法的不正规性，其结果可能受到评审者主观看法和偏见的影响；3）对所选用的防护措施几乎没有什么正当理由，因此用于防护措施的费用难以判定；4）随着时间的流逝，没有再评审，可能难以管理与安全相关的变化。 * 精品ppt·实用可编辑 5.1.1 13335中的4种风险分析方法 详细风险分析 Detailed Risk Analysis 包括资产的标识和估价，对这些资产威胁程度和这些资产的脆弱性的评估。这可能是一个非常耗费资源的过程，因此，需要认真建立边界，也需要管理上的经常关注。 优点：为每个系统的安全要求定义合适的安全级别；其结果有利于变更管理。 缺点：费时、费力，需要专家支持。 * 精品ppt·实用可编辑 5.1.1 13335中的4种风险分析方法 组合方法 Combined Approach 首先识别高风险或对业务运行重要的那些系统。根据这些结果，将系统分类：为达到合适的保护，哪些系统需要详细的风险分析；哪些系统基线保护足够了。 优点：花费大量资源前，先分析判断，把资源用在刀刃上。 缺点：一旦初始分析不准确，就可能造成更大的麻烦。 * 精品ppt·实用可编辑 5.1.2 包含详细风险分析的风险管理 步骤1：确定评估范围 步骤2：识别资产 步骤3：资产赋值 步骤4：威胁评估 步骤5：脆弱性评估 步骤6：识别已有或计划 采取的防护措施 步骤7：评价风险 步骤8：选择防护措施 步骤9：风险接受 步骤10：实施防护措施 * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 可以通过定性手段进行度量，例如用高、中、低影响等术语来描述。 影响级别 影响定义 高 对脆弱性的利用（1）可能导致有形资产或资源的高成本损失；（2）可能严重违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员死亡或严重伤害。 中 对脆弱性的利用（1）可能导致有形资产或资源的损失；（2）可能违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员伤害。 低 对脆弱性的利用（1）可能导致某些有形资产或资源的损失；或者（2）可能对单位的使命、声誉或利益造成值得注意的影响。 * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 步骤7：确定风险 确定一个特定的威胁/脆弱性对带来的风险时，可以将其表示为以下参数构成的函数： 给定的威胁源试图攻击一个给定的系统脆弱性的可能性； 一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度； 规划中或现有的安全防护措施对于降低或消除风险的充分性。 * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 步骤7.1 风险级别矩阵 将威胁的可能性（例如概率）及威胁影响的级别相乘后便得出了最终的使命风险。下面是一个关于威胁的可能性（高、中、低）和威胁影响（高、中、低）的3×3矩阵。 根据现场要求和风险评估要求的粒度，有些情况下也可能使用4×4或5×5的矩阵。 * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 下表的矩阵范例描述了高、中或低的总体风险级别是如何得出的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用每个可能性级别上分配的概率值和每个影响级别上分配的影响值来解释。例如： 赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低； 赋给每个影响级上的值为100时表示高，50表示中，10表示低。 * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 威胁可能性 影响 低（10） 中（50） 高（100） 高（1.0） 低10×1.0 = 10 中50×1.0 = 50 高100×1.0 = 100 中（0.5） 低10×0.5 = 5 中50×0.5 = 25 中100×0.5 = 50 低（0.1） 低10×0.1 = 1 低50×0.1 = 5 低100×0.1 = 10 风险尺度：高（50～100）；中（10～50）；低（1～10） * 精品ppt·实用可编辑 2.1 信息安全风险评估的过程(续) 步骤7.2 风险级别描述 下表描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定的脆弱性被利用来攻击时，信息系统、设施或流程可能暴露出的风险程度或级别。风险尺度也表示了高级管理人员和系统拥有者对每种风险