ISMS-4-信息安全风险评估与管理.ppt

信息安全风险评估与管理信息安全风险评估与管理PKSEC北京知识安全工程中心北京知识安全工程中心PKSEC 1.概念解析概念解析 2.风险和风险管理的一般过程风险和风险管理的一般过程 3.信息安全风险管理模型信息安全风险管理模型 4.27001中风险管理的要求中风险管理的要求 5.信息安全风险管理方法信息安全风险管理方法 课程内容PKSEC1 概念解析概念解析与过程相关的概念与过程相关的概念风险风险风险管理风险管理风险评估风险评估风险分析风险分析风险评价风险评价风险处理风险处理资产资产威胁威胁脆弱性脆弱性防护措施防护措施与与 要素相关的概念要素相关的概念PKSECl风险是什么？风险是什么？中国有句古话：中国有句古话：“天有不测风云，人有旦夕祸福天有不测风云，人有旦夕祸福”1.1 风险风险PKSECl关于风险几个描述关于风险几个描述a)中石油吉化公司双苯厂发生爆炸，污染松花中石油吉化公司双苯厂发生爆炸，污染松花江水质，给下游城市带来严重的水危机江水质，给下游城市带来严重的水危机 b)目前环境下投资股票比投资国债风险要大目前环境下投资股票比投资国债风险要大c)人身意外伤害保险人身意外伤害保险d)频繁的黑客活动给网上银行带来很大的风险频繁的黑客活动给网上银行带来很大的风险e)内部人员的误操作和恶意侵害是银行最大信内部人员的误操作和恶意侵害是银行最大信息不安全息不安全 1.1 风险风险l不利事件不利事件l不利事件发生的条件不利事件发生的条件l不利事件发生的可能性不利事件发生的可能性l不利事件的影响不利事件的影响PKSECl风险的定义风险的定义 1.1 风险风险金山词霸金山词霸2005：美国传统词典：美国传统词典 The possibility of suffering harm or loss;danger.遭受损害或损失的可能性；危险遭受损害或损失的可能性；危险PKSECl风险的定义风险的定义 1.1 风险风险辞海：上海辞书出版社，辞海：上海辞书出版社，1989年年 风险：是指人们在生产建设和日常生活中遭遇可能导致风险：是指人们在生产建设和日常生活中遭遇可能导致人身伤亡、财产受损及其它经济损失的自然灾害、意外人身伤亡、财产受损及其它经济损失的自然灾害、意外事故和其它不测事件的可能性。事故和其它不测事件的可能性。PKSECAS/NZS 4360：澳大利亚澳大利亚/新西兰国家标准：新西兰国家标准：风险：对目标产生影响的某种事件发生的机会。它可以用后风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。果和可能性来衡量。Risk:the chance of something happening that will have on impact upon objectives.It is measured in terms of consequences and likelihood.1.1 风险风险PKSECl风险的定义风险的定义 1.1 风险风险ISO Guide73：2002 （Risk Management Vocabulary Guidelines for use in standards）risk：combination of the probability of an event and its consequence 事件的可能性及其后果的组合。事件的可能性及其后果的组合。注注1：通常，只有至少存在产生不利结果可能性的情况下才使用：通常，只有至少存在产生不利结果可能性的情况下才使用“风险风险”术语。术语。注注2：在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。：在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。PKSECISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。性造成组织的资产损失或损害的可能性。Risk:the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets.1.1 风险风险PKSEC后果后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。害、失利或获利。可能性可能性 Likelihood 用作对几率或频率的定性描述。用作对几率或频率的定性描述。几率几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字或结果的可能性。用数字0或者或者1来表达。来表达。频率频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。以规定时间内所发生的次数来表达的事件发生率的度量。与风险有关的名词：1.1 风险风险PKSECo风险（风险（risk）n风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。n对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。1.1 风险风险PKSECl风险管理的概念风险管理的概念 1.2 风险管理风险管理ISO Guide73：2002 （Risk Management Vocabulary Guidelines for use in standards）risk management：coordinated activities to direct and control an organization with regard to risk.在风险方面指挥和控制组织的协同活动。在风险方面指挥和控制组织的协同活动。注：风险管理一般包括风险评估、风险处理、风险接受和沟通。注：风险管理一般包括风险评估、风险处理、风险接受和沟通。PKSECl风险管理的概念风险管理的概念 1.2 风险管理风险管理Wikipedia 维基百科维基百科 自由、开发的百科全书自由、开发的百科全书 风险管理又名危机管理，是指如何在一个肯定有风险管理又名危机管理，是指如何在一个肯定有风险风险的环境的环境里把风险减至最低的管理过程。当中包括了对风险的量度、里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则压后处理。先处理、而相对风险较低的事情则压后处理。理想的风险管理，正希望能够花最少的资源去尽可能化解最理想的风险管理，正希望能够花最少的资源去尽可能化解最大的危机。大的危机。PKSECl风险管理的概念风险管理的概念 1.2 风险管理风险管理Peter L.Bernstein,与上帝做对：风险的非凡经历与上帝做对：风险的非凡经历,1996年年“一个具有革命意义的看法是，对风险的掌握程度是划分现代一个具有革命意义的看法是，对风险的掌握程度是划分现代和过去时代的分水岭：所谓对风险的掌握就是说未来不再更多地依和过去时代的分水岭：所谓对风险的掌握就是说未来不再更多地依赖上帝的安排，人类在自然面前不再是被动的。在人们发现跨越这赖上帝的安排，人类在自然面前不再是被动的。在人们发现跨越这个分水岭的道路之前，未来只是过去的镜子，或者是属于那些垄断个分水岭的道路之前，未来只是过去的镜子，或者是属于那些垄断了对未来事件进行预测的圣贤和占扑者的黑暗领地。了对未来事件进行预测的圣贤和占扑者的黑暗领地。”“风险管理有助于我们在非常广阔的领域里进行决策，从分配风险管理有助于我们在非常广阔的领域里进行决策，从分配财富到保护公共健康，从战争到家庭计划安排，从支付保费到系安财富到保护公共健康，从战争到家庭计划安排，从支付保费到系安全带，从种植玉米到玉米片的市场营销。全带，从种植玉米到玉米片的市场营销。”PKSECl风险管理的历史风险管理的历史 1.2 风险管理风险管理1930年代，源于美国，受当时经济危机影响，美国年代，源于美国，受当时经济危机影响，美国40的银行和企业破产，促使他们设立的银行和企业破产，促使他们设立保险管理部门，应对危机。保险管理部门，应对危机。1950年代年代风险管理发展成为一门学科，风险管理一词才形成。风险管理发展成为一门学科，风险管理一词才形成。1970年代年代以后逐渐掀起了全球性的风险管理运动，法国、日本相继学习美国开始了风险管以后逐渐掀起了全球性的风险管理运动，法国、日本相继学习美国开始了风险管理研究。理研究。1983年年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了并通过了“101条风险管理准则条风险管理准则”，它标志着风险管理的发展已进入了一个新的发展阶段。，它标志着风险管理的发展已进入了一个新的发展阶段。1986年，由欧洲年，由欧洲11个国家共同成立的个国家共同成立的“欧洲风险研究会欧洲风险研究会”将风险研究扩大到国际交流范围。将风险研究扩大到国际交流范围。1986年年10月，风险管理国际学术讨论会在新加坡召开，风险管理已经由月，风险管理国际学术讨论会在新加坡召开，风险管理已经由环大西洋地区向亚环大西洋地区向亚洲太平洋洲太平洋地区发展。地区发展。中国对于中国对于风险管理的研究开始于风险管理的研究开始于1980年代年代。中国大部分企业缺乏对风险管理的认识，也没。中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，风险管理学在中国仍处于起步阶段。有建立专门的风险管理机构。作为一门学科，风险管理学在中国仍处于起步阶段。PKSECo风险管理风险管理(Risk management)n风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。n风险管理被认为是良好管理的一个组成部分。1.2 风险管理风险管理PKSECo对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括：确定评估范围识别评估控制措施识别评估资产识别评估威胁选择安全措施识别评估脆弱性确定风险处理策略风险评价制定安全计划实施安全计划风险分析风险处理 1.2 风险管理风险管理PKSEC1.2.1 风险评估风险评估o风险评估风险评估(risk assessment)n风险评估指风险分析和风险评价的整个过程。n风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。n通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在组织可以接受的范围之内。PKSEC1.2.1 风险评估（续）风险评估（续）o区分风险评估和风险管理区分风险评估和风险管理n风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期，通常以一定的间隔重新开始，来更新流程中各个阶段的数据。风险管理是一个持续循环，不断上升的过程。n风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。PKSEC1.2.2 风险分析风险分析o风险分析风险分析(risk analysis)n风险分析是标识安全风险，确定其大小和标识需要保护措施的区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处理提供数据。PKSEC1.2.2 风险分析（续）风险分析（续）n就风险分析的方法而言，目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手，可以信任，且能产生可比较、可再现性的结果才是最重要的。n尽管评估风险的方法有很多，但是大多数方法都是基于两种方法或两种方法的组合：定性的分析方法和定量的分析方法。PKSEC1.2.2 风险分析（续）风险分析（续）o定性分析方法定性分析方法n定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。n该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。PKSEC1.2.2 风险分析（续）风险分析（续）o定量分析方法定量分析方法n定量分析方法在后果和可能性分析中采用数值（不是定性分行中所使用的叙述性数值范围），并采用从各种各样的来源中得到的数据。n定量分析步骤主要集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考依据。PKSEC1.2.2 风险评价风险评价o风险评价风险评价(risk evaluation)n是把前些步骤识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。n风险评价的结果为具有不同等级的风险列表。PKSEC1.2.2 风险评价（续）风险评价（续）n目前在风险评价的方法上，国际上一直还在不断的研究中，也有相当多的定量或者定性的风险计算方法被提出，但是由于安全风险要素的各个环节存在太多的不确定因素和无法定量的特性，因此并没有被公认接受的风险评价方法。PKSEC1.2.3 风险处理风险处理o风险处理风险处理(risk mitigation)n风险处理是风险管理的第二个过程。n它包括对风险评估过程中建议的安全控制进行优先级排序、评估和实现。PKSEC1.2.3 风险处理（续）风险处理（续）n风险评估只为组织的信息安全活动提供一个方向，并没有必要导致重大的信息安全改进。n不管评估方法有多专业和多详细，都不能改进组织的安全状态，除非组织通过实现评估结果将改进活动坚持到底。n所以评估结束后，组织必须开发详细的行动计划，计划如何根据评估实现保护策略和风险处理计划。PKSEC1.2.3 风险处理（续）风险处理（续）n风险处理是一种系统化方法，高级管理人员可用它来降低使命风险。风险处理可以通过下列措施实现：o风险承受：接受潜在的风险并继续运行信息系统，或实现安全防护措施，以把风险降低到一个可接受的级别。o风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。o风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。PKSECo其关系可以简明表示如下：风险管理风险评估风险处理风险评价风险分析PKSEC1.3 资产资产o资产资产(asset)n所谓资产就是被组织赋予了价值，组织需要保护的有用资源。nISO13335-1定义资产为所有对组织有用的东西。n为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行适当的管理。PKSEC1.3 资产（续）资产（续）o以下是资产示例及分类：n信息资产：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。n书面文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。n软件资产：应用软件、系统软件、开发工具和实用程序等。PKSEC1.3 资产（续）资产（续）n物理资产：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备（供电设备、空调设备）、家具、办公场所等。n人员：员工、客户、合同工、警卫。n服务：计算和通讯服务及其它技术服务（供暖、照明、电力、空调）等。n公司形象和声誉：如正面和负面的宣传、品牌附加值等。PKSECo威胁威胁(threat)n威胁是一个单位的信息资产的安全可能受到的侵害。nISO 17799 将威胁定义为对组织造成潜在影响的原因。nNIST SP800-30将威胁定义为可能对系统造成损害的事件或实体。1.4 威胁威胁PKSEC1.4 威胁（续）威胁（续）n威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。PKSEC1.4 威胁（续）威胁（续）o以下几种都是常见的威胁：n对信息、信息系统、网络和网络服务的非授权访问o这些一般都是有意图、有目的的行为，会对信息的保密性、完整性和可用性造成损害，损害的程度决定于非授权用户的目的和拥有的权限。n信息的非授权修改o这是一种有预谋的威胁，可能会损害资产的保密性与可用性。PKSEC1.4 威胁（续）威胁（续）n恶意软件o恶意软件的引入可以是有意的（具有一定的目的和企图）和无意的（运行了来历不明的软件），恶意软件威胁资产的保密性、完整性和可用性。n软件失效o由于有预谋的事件或意外事件发生，从而导致软件的完整性与可用性的损失。PKSEC1.4 威胁（续）威胁（续）n火灾o这是一种意外事故，也可能是一种有预谋的事件，会影响资产的完整性与可用性。n偷窃o这是一种有预谋的威胁，可能会损害资产的保密性与可用性。n人员错误o可能是有意的或无意的行为，有时此类事件的发生仅仅是员工缺乏安全意识，并不是有什么恶意企图。PKSEC1.5 脆弱性脆弱性o脆弱性脆弱性(Vulnerability)n脆弱性是信息资产及其防护措施在安全方面的不足和弱点。n脆弱性也常常被称为漏洞。nNIST SP800-30将漏洞定义为安全程序、技术控制措施、物理控制措施或其他控制措施中可能被威胁利用的条件或弱点，或缺乏控制措施。PKSEC1.5 脆弱性（续）脆弱性（续）n经验表明：大多数重大的漏洞通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术漏洞。PKSEC1.5 脆弱性（续）脆弱性（续）o以下都是常见的脆弱性：n缺乏物理保护或保护不适当o可能被威胁利用，损害资产的保密性、完整性和可用性n口令选择或使用不当o可能导致对系统信息的非授权访问，从而损害资产的保密性、完整性和可用性。PKSEC1.5 脆弱性（续）脆弱性（续）n与外部网络的连接没有保护 o能导致在联网系统中存储与处理信息的保密性、完整性和可用性的损害。n没有保护的存档文件o有可能被偷窃，从而损害资产的保密性、完整性和可用性。n不足够的安全培训o可能造成用户缺乏足够的安全意识，破坏信息的保密性，或者产生用户错误，从而造成对资产的完整性和可用性的损害。PKSEC1.6 防护措施防护措施o防护措施防护措施(safeguard)n防护措施是对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。n防护措施 本质上都是减少脆弱性的。PKSEC 1.7 信息安全风险要素信息安全风险要素资产资产 asset威胁威胁 threat 脆弱性脆弱性 vulnerability 影响影响 impact 防护措施防护措施 safeguards残余风险残余风险 residual risk PKSEC残余风险残余风险残余风险残余风险 residual risk a)在已实现防护措施之后遗留的风险在已实现防护措施之后遗留的风险b)风险通常只能通过防护措施部分减轻风险通常只能通过防护措施部分减轻c)组织应判断是否可以接受残余风险组织应判断是否可以接受残余风险d)残余风险越小，意味防护成本就越高残余风险越小，意味防护成本就越高PKSEC1.8 概念解析概念解析-与要素相关概念小结与要素相关概念小结PKSEC 1.概念解析 2.风险和风险管理的一般过程风险和风险管理的一般过程 3.信息安全风险管理模型 4.27001中风险管理的要求 5.信息安全风险管理方法 PKSEC2 信息安全风险管理的一般过程信息安全风险管理的一般过程2.1 信息安全风险评估的过程信息安全风险评估的过程2.2 信息安全风险处理的过程信息安全风险处理的过程PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程输输入入输输出出风险评风险评估活估活动动 硬件 软件 系统接口 数据和信息 人员 系统使命步骤1：体系特征描述 系统边界 系统功能 系统和数据的关键性系统和数据的敏感性 系统遭受攻击的历史 来自信息咨询机构、大众媒体的数据 以前的风险评报告 安全检查工作中提出的意见 安全要求 安全测试结果 当前的以及规划中的安全措施 威胁的属性（威胁源、动机、能力等）脆弱性的性质当前的以及规划中的安全措施 分析对使命的影响 评估资产的关键性 数据关键性数据敏感性 威胁声明 可能的脆弱性列表 当前的以及规划中的安全措施 可能性级别 影响级别步骤2：识别威胁步骤3：识别脆弱性步骤4：分析安全措施步骤5：确定可能性步骤6：分析影响完整性损失可用性损失保密性损失步骤7：确定风险 威胁破坏的可能性 影响的程度 当前的以及规划中的安全措施的足够性 风险及相关风险的级别步骤8：建议安全措施步骤9：记录结果 建议的安全措施 风险评估报告PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤1：描述系统特征描述系统特征n在对信息系统的风险进行评估中，第一步是定义工作范围。n在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)n步骤1.1 系统相关信息n步骤1.2 信息收集技术o可以使用下列一项或多项技术在其运行边界内获取相关的系统信息：n调查问卷 n现场面谈 n文档审查 n使用自动扫描工具 PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤2：识别威胁识别威胁o如果没有脆弱性，威胁源无法造成风险；在确定威胁的可能性时，应该考虑威胁源、潜在的脆弱性和现有的安全防护措施。n步骤2.1 识别威胁源n步骤2.2 动机和行为PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤3：识别脆弱性识别脆弱性o本步的目标是制定系统中可能会被威胁源利用的脆弱性（缺陷或薄弱环节）的列表。n步骤3.1 脆弱性源n步骤3.2 系统安全测试PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤4：分析安全控制分析安全控制o本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）。n步骤4.1 安全防护措施n步骤4.2 安全防护措施的分析技术PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤5：分析可能性分析可能性o本步要说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性，下列支配因素应该在本步中考虑：威胁源的动机和能力。脆弱性的性质。安全防护措施的有效性。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)n一个潜在的脆弱性被一个给定威胁源攻击的可能性可以用高、中、低来表示。下表描述了这三个可能性级别。可能性级别可能性描述高威胁源具有强烈的动机和足够的能力，防止脆弱性被利用的防护措施是无效的。中威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用。低威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止至少能大大地阻止对脆弱性的利用。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤6：分析影响分析影响o度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。o对安全事件的负面影响可以用完整性、可用性和保密性三个安全属性的损失或降低来描述。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)n可以通过定性手段进行度量，例如用高、中、低影响等术语来描述。影响级别影响级别影响定义影响定义高高对脆弱性的利用（1）可能导致有形资产或资源的高成本损失；（2）可能严重违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员死亡或严重伤害。中中对脆弱性的利用（1）可能导致有形资产或资源的损失；（2）可能违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员伤害。低低对脆弱性的利用（1）可能导致某些有形资产或资源的损失；或者（2）可能对单位的使命、声誉或利益造成值得注意的影响。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤7：确定风险确定风险o确定一个特定的威胁/脆弱性对带来的风险时，可以将其表示为以下参数构成的函数：给定的威胁源试图攻击一个给定的系统脆弱性的可能性；一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度；规划中或现有的安全防护措施对于降低或消除风险的充分性。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)n步骤7.1 风险级别矩阵风险级别矩阵o将威胁的可能性（例如概率）及威胁影响的级别相乘后便得出了最终的使命风险。下面是一个关于威胁的可能性（高、中、低）和威胁影响（高、中、低）的33矩阵。o根据现场要求和风险评估要求的粒度，有些情况下也可能使用44或55的矩阵。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)n下表的矩阵范例描述了高、中或低的总体风险级别是如何得出的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用每个可能性级别上分配的概率值和每个影响级别上分配的影响值来解释。例如：o赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；o赋给每个影响级上的值为100时表示高，50表示中，10表示低。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)威胁可能性影响低（10）中（50）高（100）高（1.0）低低10101.0=101.0=10中中50501.0=501.0=50高高1001001.0=1001.0=100中（0.5）低低10100.5=50.5=5中中50500.5=250.5=25中中1001000.5=500.5=50低（0.1）低低10100.1=10.1=1低低50500.1=50.1=5低低1001000.1=100.1=10风险尺度：高（50100）；中（1050）；低（110）PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤7.2 风险级别描述风险级别描述o下表描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定的脆弱性被利用来攻击时，信息系统、设施或流程可能暴露出的风险程度或级别。风险尺度也表示了高级管理人员和系统拥有者对每种风险级别必须采取的行动。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)风险级别风险描述和必要行动高如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划。中如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。低如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤8：建议安全防护措施建议安全防护措施o在这一步里，将针对单位的运行提出可用来控制已识别出的风险的安全防护措施。PKSEC2.1 信息安全风险评估的过程信息安全风险评估的过程(续续)o步骤9：记录评估结果记录评估结果 o一旦风险评估全部结束（威胁源和系统脆弱性已经被识别出来，风险也得到了评估，安全防护措施建议也已经提出），该过程的结果应该被记录到正式的报告或简报里。风险评估过程结束！PKSEC2.2 信息安全风险处理的过程信息安全风险处理的过程来自风险评估报告的风险级别l由高到底的行动优先级风险评估报告l可能的控制清单l成本效益分析l所选择的安全防护措施l责任人员清单步骤2：评估所建议的安全选项可用性有效性步骤3：实施成本效益分析步骤4：选择安全防护措施步骤5：分配责任步骤6：制定安全措施的实现计划l风险及相关风险的级别l优先级排序后的行动l所建议的安全防护措施l所选择的预期安全措施l责任人员l开始日期l目标完成日期l维护要求l安全措施实现计划步骤7：实现所选择的安全措施l残余风险步骤1：对行动优先级进行排序PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤1:对行动优先级进行排序对行动优先级进行排序o基于在风险评估报告中提出的风险级别，对风险处理的实现行动进行优先级排序。在分配资源时，标有不可接受的高等级（例如被定义为“非常高”或“高”风险级的风险）的风险项应该最优先。这些脆弱性/威胁对需要采取立即纠正行动以保护单位的利益和使命。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤2:评估所建议的安全选项评估所建议的安全选项o风险评估过程中建议的安全防护措施对于具体的单位及其信息系统可能不是最适合和最可行的。在这一步中，要对所建议的安全防护措施的可行性（如兼容性、用户接受程度）和有效性（如保护程度和风险控制的级别）进行分析。目的是选择出最适当的安全防护措施，使风险降至最低。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤3:实施成本效益分析实施成本效益分析o为了帮助管理层做出决策并找出成本有效性最好的安全控制，要实施成本效益分析。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤4:选择安全防护措施选择安全防护措施o在成本效益分析的基础上，管理人员应确定成本有效性最好的安全防护措施来降低单位的风险。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤5:责任分配责任分配o遴选出那些拥有合适的专长和技能，可实现所选安全防护措施的人员（内部人员或外部合同商），并赋以相应责任。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤6:制定安全防护措施的实现计划制定安全防护措施的实现计划o在本步中将制定安全防护措施的实现计划。PKSEC2.2 信息安全风险处理的过程（续）信息安全风险处理的过程（续）o步骤7:实现所选择的安全防护措施实现所选择的安全防护措施o根据各自情况的不同，所实现的安全控制可以降低风险级但不会根除风险。实现安全防护措施后仍然存在的风险为残余风险。风险处理过程结束！PKSEC 1.概念解析 2.风险和风险管理的一般过程 3.信息安全风险管理模型信息安全风险管理模型 4.27001中风险管理的要求 5.信息安全风险管理方法 PKSEC3 信息安全风险管理模型信息安全风险管理模型l信息安全要素间的关系信息安全要素间的关系a)a)包含威胁的环境包含威胁的环境b)b)组织的资产组织的资产c)c)资产的脆弱性资产的脆弱性d)d)保护资产、降低威胁后果所保护资产、降低威胁后果所选用的防护措施选用的防护措施e)e)组织可接受的残余风险组织可接受的残余风险 PKSEC3 信息安全风险管理模型信息安全风险管理模型l风险管理中各要素间的关系风险管理中各要素间的关系PKSEC3 信息安全风险管理模型信息安全风险管理模型l保护要求与威胁保护要求与威胁PKSEC 3 信息安全风险管理模型信息安全风险管理模型l保护要求与脆弱性保护要求与脆弱性PKSEC 3 信息安全风险管理模型信息安全风险管理模型l保护要求与影响保护要求与影响PKSEC 1.概念解析 2.风险和风险管理的一般过程 3.信息安全风险管理模型 4.27001中风险管理的要求中风险管理的要求 5.信息安全风险管理方法 PKSEC0.2b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险4.2.1b)4)建立风险评价准则4.2.1c)确定组织的风险评估方法4.2.1d)识别风险4.2.1e)分析和评价风险4.2.1 f)识别和评价风险处理的可选措施4.2.1 g)为处理风险选择控制目标和控制措施4.2.1h)获得管理者对建议残余风险的批准4.2.2a)为管理信息安全风险识别适当的管理行动资源职责和优先顺序,即制定风险处理计划(第5章)4 ISO27001的要求的要求PKSEC4.3.1 总则(强调风险评估)4.3.1d)风险评估方法的描述4.3.1e)风险评估报告4.3.1f)风险处理计划5.1 f)决定接受风险和可接受风险级别的准则7.2 e)以往风险评估没有充分强调的脆弱点或威胁7.3 b)风险评估与风险处理计划的更新7.3.c)6)风险级别和或风险接受准则8.3 组织应标识变化的风险,并标识关注重大变化的风险的预防措施需求.预防措施的优先级要依据风险评估的结果确定4 ISO27001的要求的要求PKSECA6.2.1 标识与外部各方相关风险A7.1.1 资产清单4 ISO27001的要求的要求PKSEC 1.概念解析 2.风险和风险管理的一般过程 3.信息安全风险管理模型 4.27001中风险管理的要求 5.信息安全风险管理方法信息安全风险管理方法 PKSEC5.信息安全风险管理方法信息安全风险管理方法 5.1 ISO/IEC 13335 5.2 NIST-SP800-30 5.3 OCTAVE 5.4 C2risk PKSEC 5.1 ISO/IEC 13335 5.2 NIST-SP800-30 5.3 OCTAVE 5.4 C2risk PKSEC 5.1.1 13335中的中的4种风险分析方法种风险分析方法基线方法基线方法 Baseline Approach非正式方法非正式方法 Informal Approach详细风险分析详细风险分析 Detailed Risk Analysis组合方法组合方法 Combined Approach PKSEC 5.1.1 13335中的中的4种风险分析方法种风险分析方法基线方法基线方法 Baseline Approacha)a)对所有系统选择一组防护措施，使系统保护达到基线水平对所有系统选择一组防护措施，使系统保护达到基线水平b)b)优点：花费最少资源、时间和精力；经济有效优点：花费最少资源、时间和精力；经济有效c)c)缺点：基线水准过高或过低，都会给组织带来麻烦缺点：基线水准过高或过低，都会给组织带来麻烦PKSEC 5.1.1 13335中的中的4种风险分析方法种风险分析方法非正式方法非正式方法 Informal Approacha)a)对所有系统进行非正规的、注重实效的风险分析。不是以结构法对所有系统进行非正规的、注重实效的风险分析。不是以结构法为基础，而是利用个人的知识和经验。如果在内部没有可用的安为基础，而是利用个人的知识和经验。如果在内部没有可用的安全专家，可请外部顾问进行分析全专家，可请外部顾问进行分析。b)b)优点：不需要额外学习新技能；实施较快，适合小组织。优点：不需要额外学习新技能；实施较快，适合小组织。c)c)缺点：缺点：1 1）没使用结构化方法，遗漏某些风险和关注范围的可能性增加；）没使用结构化方法，遗漏某些风险和关注范围的可能性增加；2 2）由于这种方法的不正规性，其结果可能受到评审者主观看法和偏见的）由于这种方法的不正规性，其结果可能受到评审者主观看法和偏见的影响；影响；3 3）对所选用的防护措施几乎没有什么正当理由，因此用于防护措）对所选用的防护措施几乎没有什么正当理由，因此用于防护措施的费用难以判定；施的费用难以判定；4 4）随着时间的流逝，没有再评审，可能难以管理与）随着时间的流逝，没有再评审，可能难以管理与安全相关的变化。安全相关的变化。PKSEC 5.1.1 13335中的中的4种风险分析方法种风险分析方法详细风险分析详细风险分析 Detailed Risk Analysisa)a)包括资产的标识和估价，对这些资产威胁程度和这些资