《信息安全管理与风险评估》_第2章 信息安全风险评估的流程与分析方法.pptxVIP

2.1信息安全风险评估的分类;信息安全风险评估可大致分为三类：基本风险评估，详细风险评估，联合风险评估。

2.1.1基本风险评估

基本风险评估又称基线风险评估（BaselineRiskAssessment），是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。基线风险评估适用于组织的业务环境不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化模式的情形。

采用基线风险评估，组织根据自己的实际情况，对信息系统进行安全基线检查，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线。安全基线可以有多种选择，可分为如下几类：

（1）国际标准和国家标准，例如BS7799-1、ISO13335-4；

（2）行业标准或推荐，例如德国联邦安全局IT基线保护手册；

（3）其他有类似业务目标和规模的组织的惯例。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。此外，在管理安全相关的变化方面，基线评估比较困难。

;基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。

2.1.2详细风险评估

详细的风险评估实际上就是对资产、威胁和脆弱性进行详细的识别与评价，详细的风险评估结果被用于风险评估和安全控制措施的识别和选择。

详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集??体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。

详细风险评估的流程主要有两步：

(1)对资产、威胁和脆弱性进行识别和赋值。

(2)使用合适的风险评估方法完成风险计算得出结果。

详细评估的优点在于组织可以通过详细的风险评估对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。

但详细评估也有其缺点，详细评估需要花费大量的时间、精力以及对技术的要求过高。;2.1.3联合风险评估

联合风险评估首先使用基本的风险评估方法，识别信息安全管理体系范围内具有潜在高风险或对业务运作极为关键的资产，然后根据基本的风险评估的结果，将信息安全管理体系范围内的资产分为两类，一类需要应用详细的风险评估方法以达到适当的保护；另一类通过基本的风险评估方法就可以满足组织对安全的需求。

联合风险评估将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，联合风险评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。;2.2信息安全风险评估的四个阶段;2.2.1评估准备阶段

风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。故此，在风险评估正式实施之前，要做如下准备。

1.确定风险评估的目标

根据组织的业务战略，有关法律法规和文件精神等，确定此次风险评估的目标。

2.确定风险评估的范围

风险评估的范围可能是组织全部的信息及其与信息处理相关的各类资产、管理机构，也可能是组织所属的一个或几个子机构或子部门。

3.组建评估团队

风险评估实施团队可大致分为委托评估机构和自评估机构两种形式。无论是委托评估还是自评估，风险评估实施团队都必须要由管理层、业务骨干（及业务专家，指被评估单位的业务骨干）和信息安全技术骨干组成。

4.系统调研

系统调研的目的是为了对此次风险评估的目标、范围做出初步判断，为撰写风险评估计划做必要的准备。测评机构进行系统调研可以通过与被测评机构的初步交流来实现。;调研内容有：

（1）业务战略和管