信息安全风险管理.ppt

信息平安风险管理

10.1风险管理概述“知己知彼，百战不殆。知己而不知彼，即便获得胜利也损失沉重。既不知已又不知彼，每仗必败。〞为了取得信息平安管理的胜利，必须知己知彼。

10.1.1知己首先必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。要想保护资产就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。资产在这里是指信息及使用、存储和传输这些信息的系统。

10.1.2知彼知彼，这就意味着识别、检查并熟悉机构面临的威胁。必须确定出对机构信息资产的平安影响最直接的威胁。然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级列表。

10.1.3利益团体的作用机构中的每一个利益团体都有责任管理机构面临的风险，可以从以下三方面的分析中看出：1.信息平安因为信息平安团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。

10.1.3利益团体的作用2.管理人员管理人员和用户经过适当的培训，会对机构面临的威胁有着清醒的认识，在早期的检测和响应阶段起一定的作用。3.信息技术利益团体必须建立平安的系统，并且平安的操作这些系统。例如，IT操作应进行合理的备份，以防止硬盘故障引起的风险。

10.2风险管理的根本概念

10.2.1资产相关概念1．资产所谓资产就是被组织赋予了价值、需要保护的有用资源。在信息平安体系范围内，一项非常重要的工作就是为资产编制清单。每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行平安分类，并以文件形式详细记录在案。

10.2.1资产相关概念2．资产的价值资产价值是指经济实体所拥有的固定资产、无形资产表达出来的价值。为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅要考虑其自身的价值，还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的平安保护措施。

10.2.1资产相关概念因此，在信息系统中资产的价值可以用信息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。

10.2.1资产相关概念3．威胁威胁是指可能对资产或组织造成损害的事故的潜在原因。例如，网络系统可能受到来自计算机病毒和黑客攻击的威胁。4．脆弱性所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用，造成平安事件的发生，从而对资产造成损害。脆弱性本身并不会引起损害，它只是为威胁提供了影响资产平安性的条件。

10.2.2风险管理的相关概念

1．平安风险所谓平安风险就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丧失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。通过确定资产价值及相关威胁与脆弱性的水平，可以得出风险的度量值。

10.2.2风险管理的相关概念

即对信息和信息处理设施的威胁、影响〔指平安事件所带来的直接和间接损失〕和脆弱性及三者发生的可能性的评估。作为风险管理的根底，风险评估是组织确定信息平安需求的一个重要途径，属于组织信息平安管理体系筹划的过程。

10.2.2风险管理的相关概念风险评估的主要任务包括：·识别组织面临的各种风险；·评估风险概率和可能带来的负面影响；·确定组织承受风险的能力；·确定风险降低和控制的优先等级；·推荐风险降低对策。风险评估也就是确认平安风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确定资产风险等级和优先控制顺序。

10.2.2风险管理的相关概念

2．风险管理所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的平安风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息平安方针，使风险被防止、转移或降至一个可被接受的水平。风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如以下图所示。

风险管理风险识别风险评估风险控制图风险管理过程

10.2.2风险管理的相关概念

在风险管理过程中，有几个关键的问题需要考虑。第一，要确定保护的对象是什么？它的直接和间接价值如何？第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后，组织应该采取怎样的平安措施才能将风险带来的损失降到最低？解决以上问题的过程，就是风险管理的过程。

10.2.2风险管理的相关概念

这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析这个概念。实际上，对于信息平安风险管理来说，风险分析和风险评估根本上是同义的。当然，如果细究起来，风险分析应该是处理风险的总体战略，风险评估只是风险分析中的一项工作，即对可识别的风险进行评估，以确定