ch4信息安全风险评估.pptxVIP

第四章 信息安全风险评估本章学习目标了解风险评估的概念、特点和内涵； 熟悉风险评估的过程及应注意的问题； 了解如何选择恰当的风险评估方法； 掌握典型的风险评估方法；了解风险评估实施准备4.1信息安全风险评估基础GB/T 20984-2007《信息安全技术 信息安全风险评估规范》相关概念资产（Asset）：任何对组织有价值的事如，是安全策略保护的对象。威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。风险（Risk）：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件的可能性与后果的结合。风险评估（Risk Assessment）：对信息或信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。残余风险（Residual Risk）：采取了安全措施后，信息系统仍然可能存在的风险。风险要素关系风险评估的两种方式自评估和检查评估1自评估 “谁主管谁负责，谁运营谁负责”信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。优点有利于保密有利于发挥行业和部门内人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识风险评估的两种方式1自评估缺点：如果没有统一的规范要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位自评估中，可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低评估结果的置信度某些时候，即使自评估的结果比较乐观，也必须与管理层进行沟通风险评估的两种方式2 检查评估检查评估是由信息安全主管部门或业务部门发起的一种评估活动，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。检查评估通常都是定期的、抽样进行的评估模式检查评估缺点：间隔时间较长，如一年一次，通常还是抽样进行不能贯穿一个部门信息系统生命周期的全过程，很难对信息系统的整体风险状况作出完整的评价风险评估的两种方式2 检查评估检查评估应覆盖但不限于以下内容：自评估方法的检查自评估过程记录检查自评估结果跟踪检查现有安全措施的检查系统输入输出控制的检查软硬件维护制度及实施状况的检查突发事件应对措施的检查数据完整性保护措施的检查审计追踪的检查风险评估的两种方式无论是自评估，还是检查评估，都可以委托风险评估服务技术支持方实施，如国家测评认证机构或安全企业公司。风险分析原理风险分析中要涉及资产、威胁、脆弱性三个基本要素。风险分析原理图风险分析原理风险分析的主要内容为：1对资产进行识别，并对资产的价值进行赋值2对威胁进行识别，描述威胁的属性（威胁主体，影响对象，出现频率，动机等），并对威胁出现的频率赋值3对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值4根据威胁及威胁利用脆弱性的难易程度判断安全时间发生的可能性根据脆弱性的严重程度和安全事件所作用的资产的价值计算安全事件造成的损失根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值4.2风险评估的过程4.2.1风险评估的基本步骤第一步：风险评估准备第二步：风险因素识别第三步：风险确定第四步：风险评价第五步：风险控制第一步 风险评估准备1确定风险评估的目标风险评估目标要满足企业持续发展在安全方面的要求，满足相关方的要求，满足法律法规的要求2 风险评估的范围风险评估范围可能是企业全部的信息以及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等3选择与组织机构相适应的具体风险判断方法在选择具体的风险判断方法时，应考虑评估的目的、范围、时间、效果、人员素质等诸多因素，使之能够与组织环境和安全要求相适应4建立风险评估团队管理层、业务骨干、信息技术人员、技术专家等5获得最高管理者对风险评估工作的支持风险评估过程应得到企业最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织内部对风险评估的相关内容进行培训，以明确相关人员在风险评估中的任务。第二步 风险因素评估1资产评估识别信息资产，包括数据、软件、硬件、设备、服务、文档等，制定《信息资产列表》保密性、完整性、可用性是评价资产的三个安全属性风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产分类资产赋值资产价值应根据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最重要的一个属性的赋值等级作为资产的最终赋值结果；或三者进行加权计算得到资产的最终赋值结果。第二步 风险因素评