1、,信息安全风险管理,华夏认证中心有限公司 China Certification Center Inc.,ISO/IEC 27001:2013课程,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,沟通 和 磋 商,监视和评审,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险评估过程,ISO 31000 风险评估过程,信息安全风险管理过程,信息安全风险管理过程,风
2、险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,沟通 和 磋 商,监视和评审,9. 绩效评价 ISO/IEC 27001:2013,6.1.3. 信息安全风险处置 ISO/IEC 27001:2013,6.1.2. 信息安全风险评估 ISO/IEC 27001:2013,7. 支持 ISO/IEC 27001:2013,4. 组织背景 ISO/IEC 27001:2013,信息安全风险管理过程,ISMS的调整和 风险管理过程,信息安全风险管理,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风
3、险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险管理过程,确定环境信息,外部环境信息 内部环境信息,输入,基本准则说明 范围和边界说明 组织架构说明,输出,确定基本准则 确定范围和边界 确定组织架构,过程,实施指南,确定信息安全风险评估的宗旨: 支持ISMS 符合法律和尽职调查的证据 准备业务连续性计划 准备事件响应计划 描述某个产品、服务或机制对信息安全要求,确定环境信息,外部环境信息 external context 组织寻求实现其目标的外部环境。 注:外部环境可包括: 文化、社会、政治、法律法规、财政金融、技术
4、、经济、自然和竞争环境,无论国际、国家、区域或地方 对组织目标具有影响的主要驱动和趋势。 与外部利益相关方的关系和其感受和价值观。 ISO 导则 73:2009,定义 3.3.1.1,内部环境信息 internal context 组织寻求实现其目标的外部环境。 注:内部状况可包括: 治理、组织结构、作用和责任; 方针、目标、以及实现它们的战略; 以资源和知识来理解的能力(如资本、时间、人员、过程、系统和技术); 信息系统、信息流和决策过程(正式和非正式的); 与内部利益相关方的关系、以及他们的感受和价值观; 组织的文化; 标准、指南和组织采用的模式; 合同关系的形式和范围 ISO 导则 73
5、:2009,定义 3.3.1.2,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,风险管理方法 根据风险管理的范围和目标的不同,可能采用不同的方法。 对于每一循环,所采用的方法也可能不同。 一个合适的风险管理方法应该选择或开发基本准则,如风险评价准则、影响准则、风险接受准则。,确定环境信息,风险评估技术,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,头脑风暴法,确定环境信息,风险矩阵法,确定环境信息,风险矩阵法,确定环境信息,consequence ( 后果): outcom
6、e of an event (3.3) affecting objectives ISO Guide 73:2009 event (事态): occurrence or change of a particular set of circumstances ISO Guide 73:2009 An event can be defined as any detectable or discernible occurrence that has significance for the management of the IT Infrastructure or the delivery of
7、IT service and evaluation of the impact a deviation might cause to the services. ITIL V3 Events are typically notifications created by an IT service, Configuration Item (CI) or monitoring tool. ITIL V3incident(事件): An unplanned interruption to an IT service or reduction in the quality of an IT servi
8、ce. Failure of a configuration item that has not yet impacted service is also an incident, for example failure of one disk from a mirror set. ITIL V3,基本概念,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,风险评价准则 开发风险评价准则应考虑如下内容: 业务信息过程的战略价值 相关信息资产的危险程度 法律法规的要求和合同的义务 运营和业务可用性、保密性、完整性的重要程度 利益相关方的期望和认知,
9、以及对信誉和名声的负面影响,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,影响准则 开发影响准则应考虑如下内容,并以信息安全事态造成的对组织损害程度或成本的方式来说明: 受影响资产的分类级别 信息安全的违背(如保密性、完整性和可用性的丧失) 运行的受损(内部或第三方的) 业务或财务价值的损失 对计划和最后期限的破坏 声誉的损失 对法律法规或合同要求的违背,确定环境信息,潜在后果/影响定义示例:,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,风险接受准则 风险接受准则的常常依赖于组织的方针、目
10、的、目标以及利益相关方的利益。,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,风险接受准则 开发风险可接受准则时,应该考虑以下方面: 风险接受准则可以包括带有风险期望目标级别的多个阈值,但在确定的情形下,提交给高层管理者接受的风险可能超出该级别 风险可接受准则可以用估算收益(或业务收益)与估算风险的比值来描述 对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险 风险接受准则可以包括下一步的补充处置要求,例如,如果认可或承诺在确定的时间内将采取行动以将风险降到可接
11、受级别,则风险可以被接受,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,风险接受准则 风险接受准则可能因预计风险将多长时间存在而不同,例如风险可能与一个临时或短期活动相关。设定风险接受准则时,应该考虑: 业务准则 法律法规方面 运营 技术 财务 社会和人为因素,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,范围和边界 需要定义信息安全风险管理过程的范围,以保证在风险评估过程中考虑到所有相关资产。 对任何排除在范围之外的,都应该提供正当的理由。 风险管理范围可能是一个IT应用、IT基础设施、一
12、个业务过程或组织的某个界定部分。 需要定义边界以处理在边界处呈现的风险。,确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,范围和边界 在定义范围和边界时,考虑以下信息: 组织的战略经营目标、战略和策略 业务过程 组织的职能和结构 适用于组织的法律法规和合同义务的要求 组织的信息安全方针 组织风险管理的整体方法 信息资产 组织的位置及其地理特性 影响组织的约束条件 利益相关方的期望 社会文化环境 接口(与环境交换信息),确定环境信息,基本准则 风险管理方法 风险评价准则 影响准则 风险接受准则 范围和边界 组织架构,组织架构 设置和维持信息安全风
13、险管理过程的组织架构和职责,并由管理者批准。 下面是信息安全风险管理过程组织架构的主要角色和职责: 开发适合组织的信息安全风险管理过程 识别和分析利益相关方 定义组织内、外部各方的角色和职责 在组织和相关利益方之间建立必要的联系,如组织高风险管理职能的接口(如运营风险管理),以及与其它项目或活动之间的接口 定义决策升级路径 说明需要保存的记录,风险评估,基本准则 范围和边界 组织架构,输入,已按优先级排序的风险清单,输出,识别风险 分析风险 评价风险,过程,实施指南,确定信息资产价值 识别适用的威胁 识别存在或可能存在的脆弱点 识别现有控制措施及对已识别风险的影响 确定潜在后果 风险优先级排序
14、风险评估通常会进行两个或多个循环 先进行高级别风险评估识别潜在高风险 后对潜在高风险做进一步的详细考虑,风险评价,风险分析,风险识别,风险评估,识别风险源、影响区域、事件(包括环境变化)以及原因和潜在后果。 目的是产生基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。 包括其风险源是否在组织控制下的风险,即使风险源或原因不明显也要识别。 包括考查特定后果的直接影响,包括联锁和累积影响。 包括识别什么可能发生,什么后果可能出现的可能原因和场景。 应用适合的目标、能力及所面临风险的风险识别工具和技术。 在识别风险时,最新的信息是重要的,包括可能的适当背景信息。 具有适当知识的
15、人员宜参与到识别风险中。,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,环境信息确定的范围和边界 由所有者、位置和功能等构成的清单,输入,资产清单 与资产相关的业务过程清单及相互关系,输出,在范围内识别信息资产,活动,实施指南,资产是对组织有价值的任何东西 每个资产要有资产所有者,并安排职责和责任 资产所有者可能并不对资产拥有所有权,但对资产的产生、开发、维护、使用有适当保护责任,风险评价,风险分析,风险识别,风险评估,信息资产分
16、类举例: 基本资产 业务过程或活动 信息,支持性资产(基本资产所依赖的范围) 硬件 软件 网络 人员 场所 组织架构,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,信息资产分类举例,风险评价,风险分析,风险识别,风险评估,业务与支持性资产之间的关系 OBASHI方法论评估业务运作的以下六个“层次”,前两个层次研究业务运作的方式,后四个层次研究支持这些运作活动的 IT 资产: Ownership(利益相关者) Business Process(业务流程) Application(应用程序) System(操作系统) Hardware(硬件) Infrast
17、ructure(基础架构),信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,所有权,业务流程,应用程序,系统,硬件,基础架构,产品与价格,创建订单,RoodMan SafeSeller,价格,订单表,产品,Microsoft SQL Server 2005,客户订单处理,销售经理,Windows XP,服务器,3G Modem,网络安全,订单执行,发票生成,IT经理,供应总监,财务总监,软防火墙,QL Server,ABC Accounts,Linux,W 2000,W S 2003,硬防火墙,服务器,服务器,新订单,发票生成,交换机,主干网,DMZ 交换
18、机,Modem,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,Ownership(利益相关者)Business Process(业务流程)Application(应用程序)System(操作系统)Hardware(硬件)Infrastructure(基础架构),信息技术服务生命周期(规划、建设、运维),OBASHI模型,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,服务,服务业务,应用系统,通用软件,硬件设备,物理位置,IT区域,网络设
19、施,生产,灾备,保险类,投资类,核心类,辅助类,内部管理类,操作系统,中间件,数据库,存储,主机,负载均衡,总部,分支机构,接入区,核心区,办公区,路由器,交换机,防火墙,测试,基础设施,电源,空调,客服类,数据中心,安防,机房位置,机房1,机房3,机房2,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,事件评审的结果 资产所有者、使用者 外部提供的威胁清单 其他来源,输入,包含威胁类型和威胁来源的威胁清单,输出,识别威胁和威胁来源,活动,实施指南,威胁是对信息、过程和系统等资产构成的潜在损害,由此组织带来的损害 威
20、胁可能是自然的或人为的,也可能是意外的或故意的,也可能是组织内部的或外部的 威胁类型可能是非授权行为、物理损坏和技术失效 威胁是持续变化的,特别是当业务环境或信息系统发生变化时,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,威胁等级示例,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,
21、风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,控制措施文档 风险处置实施计划,输入,所有现有或计划的控制措施清单 控制措施实施和使用状况,输出,识别现有控制措施 识别已计划控制措施,活动,实施指南,识别现有控制措施时应检查其工作有效性 控制措施没有预期工作,会形成脆弱点 估算控制措施效果的方法是,看它怎样降低威胁发生的可能性、消除暴露的脆弱点或降低事件的影响 按照风险处置计划将要实施的控制措施应该视同已经实施的控制措施,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,
22、已知的威胁清单 已知的资产清单 现有的控制措施清单,输入,与资产、威胁和控制措施相关的脆弱点清单 待评审的与已识别威胁不相关的脆弱点清单,输出,识别可被威胁利用的资产的脆弱点 识别可对组织造成损害的脆弱点,活动,实施指南,脆弱点的存在本身不会形成损害,它需要被某个威胁利用 如果脆弱点没有对应的威胁,则可不需要实施控制措施,但要监视其变化 控制措施错误实施、失效或错误使用本身也是一个脆弱点 如果威胁没有对应的脆弱点,也不会导致风险发生 需要考虑不同来源的脆弱点,内在的或外来的,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优
23、先级,风险评价,风险分析,风险识别,风险评估,技术脆弱性评估方法(信息系统测试) 漏洞自动扫描工具 用于针对已知的脆弱服务,扫描一组主机或网络(如系统允许匿名的文件传输协议(FTP),邮件转发)。 应该注意,自动识别的某些潜在脆弱点在系统环境背景下可能并不是真正的脆弱点。例如,某些扫描工具在对潜在脆弱点进行定级时,并不考虑场所环境和要求。 自动扫描软件标识的某些脆弱点对于特定场所可能并不是脆弱点,而且因环境要求必须如此配置。 因此,本测试方法可能报告虚假脆弱点。 安全测试和评价(STE) 是在风险评估过程中识别ICT系统脆弱点的另外一个方法。 它包括开发和执行一个测试计划(如,测试脚本、测试过
24、程和预期的测试结果)。 系统安全测试的目的是测试已经应用到某个运行环境中的ICT系统的安全控制措施的有效性。 目标是保证应用的控制措施满足已认可的软、硬件安全规范,满足组织的安全方针或行业标准。,渗透测试 用作安全控制措施评审的补充,以保证ICT系统的不同方面都是安全的。 渗透测试可用于评估一个信息和通信技术系统防止企图绕过系统安全措施的能力。 目的是从威胁源的视点来测试ICT系统,以识别ICT系统保护方案的潜在失效点。 代码评审 最为彻底(也可能是最为昂贵)的漏洞评估方式。这些安全测试的结果将有助于识别系统的脆弱点。 特别需要注意,渗透工具和技术可能提供虚假的结果,除非脆弱点被成功利用。 为
25、利用特定的脆弱点,需要知道被测试系统的系统、应用、补丁的准确设置。 如果在进行测试时,不知道这些数据,可能难以成功利用特定的脆弱点(例如,获取远程逆转界面);然而,还是可能导致崩溃或重新启动进程和系统。在这种情形,应该认为被测试对象是存在脆弱点的。 方法包括以下活动: 人员和用户访谈 调查问卷 物理检查 分析文件,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,资产清单 业务过程清单 威胁和脆弱点清单 资产相关关系,输入,资产和业务
26、过程相关的事件场景清单,输出,识别资产丧失保密性、完整性和可用性的后果,活动,实施指南,后果可能是有效性的丧失、不利的运行环境、业务的丧失、名誉的损失和损害等 事件场景是对在信息安全事件中威胁利用某个特定的脆弱点或一组脆弱点的描述 根据在确定环境信息活动中所定义的影响准则,确定事件场景的影响 按资产的财务成本和资产破坏或损坏后带来的业务影响对资产赋值,风险评价,风险分析,风险识别,风险评估,风险分析包括考虑风险的原因和来源,以及所带来的正面和负面的后果及这些后果发生的可能性。 现有的控制措施和其效果和效率也宜被考虑在内。 考虑不同风险和其源的相互依赖关系。 依据环境条件,风险分析可以定性的、半
27、定量或定量的,也可以是组合的方式。 后果和其可能性可以通过模拟一个或一系列事件的结果,或由实验研究或可用数据推断确定。 后果可基于有形和无形的影响表述。,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,定性风险分析: 定性风险采用级别分级属性(如低、中、高)来描述潜在后果的严重性和潜在后果发生的可能性。 定性风险分析的优点是易于所有相关人员的理解,同时其弱点是级别选择对主观判断的依赖。 可以对级别进行修订或调整,以适应环境,并为不同的风险采用不同的描述。 定性风险分析可以用于: 作为最初的筛选活动,以识别需要进一步具
28、体分析的风险 当定性分析适合于决策时 当量化数据不足以进行定量估算时 定性分析应该使用可用的真实的信息和数据。,定量风险分析: 定量风险分析通过不同来源的数据,使用数字化的级别来描述后果和可能性(而不是定性风险分析中所使用的描述性级别)。 分析的质量依赖于量化数字的准确性和完整性,以及所使用模型的有效性。 在很多情况下,定量风险分析使用历史事件数据, 优势是其直接与信息安全目标和组织所关心的问题相关。 不足是缺乏新的风险或信息安全弱点的数据。 当无法获得真实和可审计数据时,将显示定量方法的不足,因为这将导致风险评估准确性和价值的假象。,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可
29、能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,已识别的事件场景,包括:识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果,输入,用资产和影响准则表示的事件场景评定后果的清单,输出,考虑违背信息安全,丧失资产的(保密性、完整性、可用性)的基础上),评估可能或实际导致的业务的影响,活动,实施指南,识别所有资产并评审后,在评估后果的同时给资产赋值 通过以下两种措施来确定资产价值: 资产的替代价值:恢复清理和替换信息所需的成本,以及 资产丧失或损坏的业务后果:如信息或其他信息资产的泄密、修
30、改、不可用和/或破坏带来的潜在业务负面影响和/或法律后果 可以从业务影响分析来确定赋值,风险评估,潜在后果/影响定义示例:,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,已识别的事件场景,包括:识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果 现有和计划的控制措施清单,以及控制措施有效性、实施和使用状态,输入,事件场景的可能性(定性的或定量的),输出,评估事件场景的可能性,活动,实施指南,识别事件场景后,需要利用定性或定量分析技术对每一场景的可能性和产生的影响进行评估 考虑威胁发生经常性和脆弱点被利用的容易
31、度,风险评价,风险分析,风险识别,风险评估,事件发生可能性示例,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,事件场景清单产、对资产或业务过程的后果和可能性,输入,分配有风险级别数值的风险清单,输出,对事件场景确定风险级别,活动,实施指南,对风险的可能性和后果进行赋值(定性或量) 估计的风险是某个事件场景的可能性及其后果的组合,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,
32、风险级别,风险优先级,组合风险矩阵,风险评估,定性风险矩阵,风险评估,定量风险矩阵,风险评价,风险分析,风险识别,风险评估,风险评价的目的是,基于风险分析的结果,帮助做出有关风险需要处理和处理实施优先的决策。 风险评价包括将分析过程中确定的风险程度与在明确环境时建立的风险准则进行比较。 决策宜考虑更为宽泛风险含义,包括考虑风险获益组织外的团体对风险的容忍性。 决策宜依据法律法规和其他要求做出。 在某些情况下,风险评价可导致对决策的进一步分析。 风险评价也可导致,除了保持现存措施,不以任何方式处理风险的决策。,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,
33、风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,分配有风险级别数值的风险清单 风险评价准则,输入,将事件场景导致的风险按风险评价进行优先级排序的风险清单,输出,风险级别与风险评价准则和风险接受准则进行比较,活动,实施指南,用于制定决策的风险评价准则应该与已定义的内外部风险管理环境信息相一致,并考虑组织的目标和利益相关方的观点。 在风险评价活动中采取的决策主要基于风险可接受级别。 同时应该考虑后果、可能性以及风险识别和分析的可信程度。 多个低或中风险的组合,可能导致更高的综合风险,并需要进行相应的处理。,信息安全风险管
34、理,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险管理过程,风险处置,已按风险评价准则进行风险优先级排序的风险清单,输入,风险处置计划 残余风险报告,输出,选择风险处置选项 制定风险处置计划,过程,实施指南,风险处置选项应基于风险评估的结果和实施这些选项的预计成本及预期收益来选择 如果某一选项可以通过相对较低的花费大幅度降低风险,则应该实施该选项 管理者应该考虑罕见但严重的风险,
35、在这种情形下,可能需要实施控制措施,而不会严格按经济性进行判断 风险处置计划应该清晰定义所列出的单个需要实施的风险处置项的优先级,以及实施的期限,风险处置,风险处置活动,风 险 处 置,风险处置选项,风险降低,令人满意的处置,风险保持,风险回避,风险转移,残余风险,满意的评估,风险评估结果,风险决策点1,风险决策点2,风险处置,风险处理方案不必互相排斥或适宜所有情况。方案可以包括以下内容: 通过决定不开展或停止产生风险的活动,来规避风险; 为寻求机会,接受或提高风险; 消除风险源; 改变可能性; 改变后果; 与另一方或多方共担风险(包括合约和风险融资); 通过有事实依据的决策,保留风险。,风险
36、处理包括选择一种或几种修正风险的方案,以及实施那些方案。 风险处理包括了一个循环过程: 评价风险处理; 确定残留风险程度是否可容许; 如果不可容许,产生新的风险处理; 评价该处理的有效性。,风险处置,风险保持:也叫接受风险,根据风险评价,决定不采取进一步的活动而保持风险。接受准则。 风险降低:也叫控制风险,引进、去除或修改控制措施,以至于残余风险能被再评估,成为可接受的。 措施选择。 风险回避:避免风险,是直接消极或去除某些风险,例如一个组织可以通过禁止网络连接来避免远程攻击;但是,不是所有的风险都是可以消极避免,例如,一个专业的电子商务网站就不能通过禁止网络连接来消除远程攻击的风险。成本分担
37、。 风险转移:也叫转移风险,根据风险评价结果,将风险转移到能最有效的管理这个特定风险的其他方,例如,产品没有出保质期,这样可用性面临的风险就部分地转移给供应商。机会效率。,风险处置选项,风险处置,风险控制,减少,降低,威胁,脆弱性,可能性,影响,预防性控制措施,补救性控制措施,形成,风险,威胁、脆弱性和控制措施的关系示意图,风险处置,什么是控制措施 管理风险的方法。为达成组织目标提供合理保证,并能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 控制措施的分类: 预防性控制措施 检查性控制措施 纠正性控制措施,控制措施,威胁、脆弱性和控制措施的关系示意图,风险处置,预防性
38、控制措施:在问题发生前,并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件,只允许授权用户访问敏感文件 检查性控制措施:检查控制发生的错误、疏漏或蓄意行为 网络通信过程中的Echo控制 内部审计 纠正性控制措施:减少危害影响,修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程,控制措施,威胁、脆弱性和控制措施的关系示意图,风险处置,控制措施,威胁、脆弱性和控制措施的关系示意图,Information Security Incident 信息安全事件管理BCM 业务连续性管理,Human 人员安全,Physical 物理安全,Information System 系统获得/开发
39、/维护,Operation 操作安全,Access Control 访问控制Access Control 访问控制,Asset 资产管理Organization 组织安全,Policy 方针目标,Compliance 合规性,Compliance 合规性,Compliance 合规性,Compliance 合规性,Communication 通信安全,Supplier 供应关系,Cryptography 密码学,风险处置,控制措施制定思路 决策层控制策略 管理层控制程序 执行层控制制度 操作层控制记录,控制措施,威胁、脆弱性和控制措施的关系示意图,风险处置,准备和实施风险处置计划 选择最合适的
40、风险处理方案包括,针对以法律法规和诸如社会责任和自然环境保护的其他要求所获得的利益,平衡成本和实施的工作量。决策也宜考虑可以批准在经济层面上不合理的风险处理的风险,例如,严重的(高负面后果)但稀少(低可能性)的风险。 风险处理计划的目的是将如何实施已选择的处理措施形成文件。将要实施的风险处理方案。处理计划中提供的信息宜包括: 选择风险处理措施的原因,包括所期待获得的效益; 负责改进和实施计划的人员; 建议的措施; 资源需求,包括紧急情况时; 绩效测量和控制; 汇报及监测要求; 时间和日程安排。 处理计划宜组织管理过程整合并与适当的利益相关方讨论。 决策者和其他利益相关方宜意识到风险处理后残留风
41、险的性质和程度。残留风险宜形成文件并进行监测、评审,适当时,进一步处理。,信息安全风险管理,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险管理过程,风险接受,风险处置计划 残余风险报告,输入,未能满足正常风险接受准则,但被接受的风险清单,并附带接受的理由,输出,风险接受决策 记录风险决策接受责任,过程,实施指南,风险处置计划应该描述怎样处置被评估的风险以满足风险接受准则。 承担责
42、任的管理者对被提议的风险处置计划和随之而来的残余风险的评审和批准,并记录与批准相关的任何先决条件。 在某些情形,残余风险的级别可能不满足风险接受准则,因为目前适用的准则,没有考虑到当前的情形,可能修订风险接受准则。,信息安全风险管理,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险管理过程,沟通与磋商,沟通与磋商与内、外部利益相关方沟通和协商宜在风险管理过程所有阶段进行。因此,沟通
43、和协商计划宜在早期制定。该计划宜针对与风险本身、风险成因、风险后果(如果掌握)以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确,以及利益相关方理解决策的基础和特定措施需求的原因,宜采取有效的外部和内部沟通和协商。协商团队方法可以: 适当地帮助明确状况; 确保利益相关方的利益被理解和考虑; 帮助确保风险充分地被识别; 将不同领域的专业知识一并用于分析风险; 确保在界定风险准则和评定风险时,不同的观点被恰当地考虑; 确保认同和支持处理计划; 加强在风险管理过程中的变更管理; 制定一个恰当的内部和外部沟通和协商计划。与利益相关方的沟通协商是重要的,由于他们基于对风险的感知,做出了对风险的
44、判断。这些感知可以由于利益相关方的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关方的观点会对决策产生重大影响,因此他们的感知以被识别、记录、以及在决策过程中考虑。沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息,同时宜考虑到保密和个人诚实因素。,沟通与磋商,风险管理活动中获得的所有风险信息,输入,对组织信息安全风险管理过程和结果的持续理解,输出,在决策者和其他利益方之间交换或共享有关风险的信息,过程,实施指南,风险沟通是通过在决策者或其他相关利益方之间交换和/或共享风险信息就如何管理风险协商一致的活动。 这些信息包括但不限于,风险的存在方式、性质、形式、可能性、严重性、处
45、置和可接受性。 确保能够识别利益相关方的风险认知以及他们对收益认知,并形成文件,以及深层的原因得到理解和处理。 组织应该为正常的运行和紧急情形制定风险沟通计划。,信息安全风险管理,信息安全风险管理过程,风 险 评 估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?,满足?,风险沟通 和 磋 商,风险监视和评审,风险决策点1 评估满足,风险决策点2 处置满足,NO,NO,YES,YES,第一次结束 或随后重复,信息安全风险管理过程,风险管理过程,监视和评审 监测和评审都宜是风险管理过程的已计划的部分,包含常规检查或监督。可以定期或不定期。 监测和评审的职责宜明确界定。 组织的
46、监测和评审过程宜包含风险管理过程的所有方面,目的是: 确保控制措施在设计和运行上有效和有效率; 获得进一步改进风险评价的信息; 从事件(包括“near-miss)、变化、趋势、成功和失败中分析和吸取教训; 探测内外部状况的变化,包括风险准则的变化和会需要修正风险处理和优先的风险自身; 识别出现的风险。 在实施风险处理计划的进程中需要绩效测量。可将结果融入组织整体绩效管理、测量和外部和内部报告活动中。 监测和评审的结果宜予以记录和在内外部适当地报告,也可用作风险管理框架评审的输入(见4.5)。,监视和评审风险因子,从风险管理活动中获得的所有风险信息,输入,不断调整的风险管理,以与组织的业务目标和
47、风险接受准则相一致,输出,监视和评审风险和风险要素 监视和评审早期识别的环境信息的任何变化,过程,实施指南,风险要素包括:资产的价值、影响、威胁、漏洞、发生的可能性等。 新的威胁、脆弱点以及可能性或后果的变化,可能增大以前被评估为低风险的风险。 风险监视活动应该定期重复进行,并周期性评审风险处置的选项。 风险监视活动的输出可能是其它风险评审活动的输入。,监视、评审和改进,从风险管理活动中获得的所有风险信息,输入,信息安全风险管理过程对组织的业务目标或被更新过程的相关的持续性,输出,根据需要和适宜性,持续对信息安全风险管理过程进行监视、评审和改进,过程,实施指南,任何商定的过程改进或更好地遵循这
48、一过程所需要活动,应该通知到合适的管理者,以确保没有风险或风险要素被忽视或低估,并且必要的行动被执行和决策得以出台,以提供现实的风险理解和应对能力。 应该定期评审用来测量风险及风险要素的准则。 组织应该确保风险评估和风险处置的资源持续可用,以进行风险评审、解决新的或变更的威胁或脆弱点,并提议相应的管理。,信息系统风险计算示例,已知: 威胁、脆弱性和事件场景对应关系如表一所示: 事件场景可能性、后果等级和风险级别对应关系如表二所示: 系统S有资产三个资产:A1, A2和A3; 资产价值:A13,A22,A34; 系统威胁:有两个威胁T1和T2; A1/T1威胁可能性为low,且脆弱性容易度为me
49、dium;A1/T2威胁可能性为medium,且脆弱性容易度为high; A2/T1威胁可能性为medium,且脆弱性容易度为low ;A2/T2威胁可能性为medium,且脆弱性容易度为medium ; A3/T1威胁可能性为high,且脆弱性容易度为low ;A3/T2威胁可能性为high,且脆弱性容易度为medium 。 求解: 系统S的风险值是多少?,信息系统风险计算示例,表一,表二,信息系统风险计算示例,解: 已知:A1价值,A2价值,A3价值 查表一得:事件场景可能性值如下表“黄色”部分 查表二得:T1和T2风险值如下表“绿色”部分 计算资产风险值T=T1+T2 计算信息系统S风险值ST=A1T+A2T+A3T,,Thank You !,华夏认证中心有限公司 China Certification Center Inc.,确定风险值,风险矩阵法,确定后果等级,风险矩阵法,风险值的计算,保密性、完整性和业务相关性的赋值,
