信息安全治理和风险管理教材.pptVIP

责任分层（Layers of Responsibility） 董事会（Board of Directors） 董事会由企业股东选出的一组人员组成，负责监督企业宪章的执行情况。成立董事会的是为了确保股东的利益得到保护，并且企业能够平稳运行。董事会成员应该是没有偏见的独立个人，他们负责监督行政人员在管理公司方面的表现。 执行管理层（Executive Management） 执行管理层由头衔以字母C开头的个人组成 CEO通常由董事会主席担任，是公司内地位最高的人。担任这个角色的人负责从宏观绝度监督公司的财务、战略规划和运营。 CFO（chief financial officer，首席财务官）负责公司的账目和财务活动以及组织机构的总体财务结构。他负责决定组织机构的财务需求，以及如何为这些需求提供资金。 第五十六页，共七十四页。 执行管理层 CIO（Chief Information Officer，首席信息官） 处于公司组织结构的较低层。根据企业结构，他们负责向CEO或CFO上报，并且负责组织机构内部信息系统和技术的战略使用与管理。 越来越多的组织机构要求CIO进入高级管理层。 CIO的职责已经扩展到在业务流程管理、收入来源以及如何利用公司的内在技术实现业务战略方面与CEO（和其他管理层）进行合作 CPO（Chief Privacy Officer，首席隐私官） 是一个较新的职位，设立该职位主要是因为公司在保护各种类型数据方面面临日益增长的需求。这个角色负责确保客户、公司和雇员数据的安全，避免公司陷入刑事和民事诉讼，并防止公司由于数据泄露而登上新闻头条。这个职位通常由律师担任，并直接参与有关数据的收集、保护盒将数据交付给第三方的策略制订。 第五十七页，共七十四页。 执行管理层 CSO（Chief Security Officer，首席安全官） 了解公司面临的风险和将这些风险缓解至可接受的级别。这个角色要了解组织机构的业务推动了，并为促进这些推动力而制订和维护一个安全计划，同时还负责提供安全、确保遵守大量法律法规以及满足客户需求或合约义务。 第五十八页，共七十四页。 风险评估一般过程 第二十四页，共七十四页。 定量评估和定性评估 定量风险评估：试图从数字上对安全风险及其构成因素进行分析评估的一种方法。 定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。 定性风险分析 优点 计算方式简单，易于理解和执行 不必精确算出资产价值和威胁频率 不必精确计算推荐的安全措施的成本 流程和报告形式比较有弹性 缺点 本质上是非常主观的，其结果高度依赖于评估者的经验和能力，较难客观地跟踪风险管理的效果 对关键资产财务价值评估参考性较低 并不能为安全措施的成本效益分析提供客观依据 定量风险分析 优点 评估结果是建立在独立客观的程序或量化指标之上的 可以为成本效益审核提供精确依据，有利于预算决策 量化的资产价值和预期损失易理解 可利用自动化工具帮助分析 缺点 输入数据的可靠性和精确性难以保证 没有一种标准化的知识库，依赖于提供工具或实施调查的厂商 信息计算量大，方法复杂，费时费力 第二十五页，共七十四页。 定量风险评估概述 对构成风险的各个要素和潜在损失水平赋予数值或货币金额。当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，，风险评估的整个过程和结果就都可以被量化。 定量分析有两个关键指标：事件发生的频率（用ARO来表示）和威胁事件可能引起的损失（用EF来表示）。 理论上讲，通过定量分析可以对安全风险进行准确分级，但这有个前提，那就是可供参考的数据指标是准确的。 定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难。 实际风险分析时，采用定量分析或者纯定量分析方法比较少 第二十六页，共七十四页。 定量分析基本概念 暴露因子（Exposure Factor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。 单一损失期望（Single Loss Expectancy，SLE）——或者称作SOC（Single Occurance Costs），即特定威胁单次发生可能造成的潜在损失量。 年度发生率（Annualized Rate of Occurrence，ARO）——即威胁在一年内估计会发生的次数。 年度损失期望（Annualized Loss Expectancy，ALE）——或者称作EAC（Estimated Annual Cost），表示特定资产在一年内遭受损失的预期值。 第二十七页，共七十四页。 定量分析基本过程 识别资产并为资产赋值； 评估威胁和弱点，评价特定威胁作用于特定资