资产评估相关培训资料(共10页).doc

《资产评估相关培训资料(共10页).doc》由会员分享，可在线阅读，更多相关《资产评估相关培训资料(共10页).doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上什么是风险？风险(Risk)：指在某一特定环境下，在某一特定时间段内，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小，并按照风险的大小安排控制措施的优先等级。 什么是风险评估？ 风险评估 (Risk Assessment)：有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估，也就是确认安全风险及其大小的过程。 风险

2、评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。 什么是风险管理？ 风险管理 (Risk Management)：以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。 什么是剩余风险？ 剩余风险(Residual risk )：实施安全控制后，剩余的安全风险。剩余的风险如果超过组织

3、的可接受风险水平，组织必须安排进一步的安全控制，将剩余风险降低到可接受的水平是风险管理的目标。 信息安全风险评估应在何时进行？ 风险评估是进行安全管理而必须做的最基本的一步，它为信息安全管理体系安全控制目标和控制措施的选择提供依据，也是对安全控制的效果进行测量评价的主要方法。 组织在信息安全管理体系的PDCA过程中，策划阶段的主要任务就是进行风险评估，识别组织所面临的风险及其大小，为信息安全信息安全风险管理提供依据。 对于处在信息安全管理运行阶段的组织来说，要检查自己的信息系统的安全状况，找出其中的不足并提出相应的改进措施时，例如管理评审，需要进行安全评估。ISMS建立过程中现状调查与风险评估

4、的主要工作有哪些？现状调查与风险评估的主要工作任务： 对组织信息安全管理现状进行全面系统的调查，为风险评估提供充分的信息； 识别信息资产； 信息资产估价； 威胁、薄弱点的识别与评价； 现有安全控制的确认； 安全风险测量及优先等级的确定。什么是威胁？ 威胁(Threat)：是指可能对资产或组织造成损害的事件的潜在原因。例如： 对信息，信息系统，网络以及网络服务的未经授权的访问和应用：这通常可能导致信息的保密性，完整性，可用性的丢失； 恶意软件：恶意软件的引入可能是故意的也可能是无意的，会危及信息的保密性，完整性和可用性； 软件故障：可能是故意的或无意的事件，并且可能导致完整性和可用性的丢失； 信

5、息发送路径重定向：由第三方故意进行的信息发送路径重定向常常在发送者不注意的情况下发生，它可能危及信息的保密性，完整性和可用性； 对信息未经授权的修改：这是一个故意的威胁，可能危及信息的完整性； 火灾：可能是故意发生也可能是无意发生的，导致可用性或完整性的丢失（例如：信息载体受热的影响）； 盗窃：是一项有预谋的威胁，导致信息保密性和可用性的丢失； 人员错误：故意的或无意（有些时候没有恶意，只是由于意识的缺乏）的事件，都可能导致保密性，完整性和可用性丢失。 什么是薄弱点？ 薄弱点(Vulnerability)：是指资产或资产组中能被威胁利用的弱点。威胁是利用薄弱点而对资产或组织造成损害的。典型的薄

6、弱点有：物理保护措施的缺乏或不适当：举例来说，门窗保护不当，可能因为盗窃危及到信息的保密性、完整性和可用性。密码的错误选择和应用：可能导致未经授权访问密码保护的系统中的信息，因此危及到信息的保密性、完整性和可用性。与外部网络的连接未被保护（例如：Internet）：以这种方法联接到其它网络，可能导致在系统中存储的和处理的信息保密性、完整性和可用性的丢失。文件存储未被保护：举例来说，可能被盗窃行为利用，因此导致保密性、可用性和完整性的丢失。缺乏安全培训：导致用户可能意识不到安全问题，危及到保密性、完整性和可用性。什么是安全控制？ 安全控制（Security Control）：降低安全风险的惯例、

7、程序或机制，是组织针对风险评估所识别的风险而采取的对策，ISO 27001：2005标准中的安全控制全部来自ISO 17799:2005，组织可以从中选择适合自己组织的控制。 什么是适用性声明SoA？ 适用性声明SoA（Statement of Applicability）是ISO 27001:2005 中的重要概念，是组织对识别的适用于自己的控制目标和控制措施的评述，相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由。 风险评估的基本步骤有哪些？ 按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价；根据资产所处的环境进行威胁识别与评价；对应每一威胁，对资产或组织存在的薄弱

8、点进行识别与评价； 对已采取的安全控制进行确认； 建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。风险评估时应考虑哪些因素？ 信息资产及其价值； 对这些资产的威胁，以及它们发生的可能性； 薄弱点； 已有的安全控制措施； 在进行风险评估时，应考虑以下对应关系：- 每一项资产可能面临多个威胁；- 威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑；- 每一威胁可能利用一个或数个薄弱点。 风险评估过程中哪些内容应该被文件化？ 风险评估相关的文件中应该解释所选择的风险评估方法，以及此方法为什么适于安全要求和业务环境。文件还应该包括所

9、选择的工具和技术，以及它们所适用的范围。 下列风险评估内容应该被文件化：信息安全评估的范围；信息安全管理体系内资产价值的评价方法和尺度；威胁及薄弱点的识别；可能利用薄弱点的威胁的评估，以及此类威胁可能造成的影响； 以上述活动结果为基础的风险计算规则，以及剩余风险的识别。根据风险评估的深度，风险评估方法有哪几种？ 在风险评估和风险管理方法被应用的过程中，评估时间、力度以及具体开展的深度应与组织的环境和安全要求相称。按照风险评估的深度，风险评估方法可分为：基本的风险评估方法：对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准，这种方法仅适用于规模小、流程简单、信息安全要求不是

10、很高的组织；详细的风险评估方法：对信息系统中所有的部分都进行详细的评估分析； 联合的风险评估方法：先鉴定出一个信息系统中的高风险、关键、敏感部分进行详细的评估分析，然后对其他的部分采取基本的评估分析。 组织在选择风险评估方法时，应该考虑哪些方面的内容？ 组织可以选择不同的风险评估方法，每一种方法都有其优点和不足，在平衡考虑选择哪种评估方法时组织应该考虑：组织的业务背景； 该业务的性质和重要程度； 组织业务、业务支持系统、应用程序和服务的复杂程度；组织业务对该信息新系统的依赖程度； 组织业务合作伙伴的多少、外部业务和合同关系； 对这个信息系统投入成本的高低，即为了开发、维护或替换这个信息系统及其

11、资产的成本，这也是一个机构为它直接赋予的价值。 这些因素存在于每一种业务中，在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务，组织应该为其安全投入更多的时间和资源。 风险评估与ISO 27001和ISO 17799的关系？风险评估是按照ISO 27001建立信息安全管理体系的基础，是PDCA循环的策划阶段的主要工作内容，根据风险评估结果来从ISO 17799中选择控制目标与控制方式。 什么是基本的风险评估，此评估方法适用于何种组织？ 基本的风险评估是指应用直接和简易的方法达到基本的安全程度。这种方法适用于业务运作不是非常复杂的组

12、织，并且组织对信息处理和网络的依赖程度不高。什么是联合评估方法？ 联合评估方法首先使用基本的风险评估方法，识别信息安全管理体系范围内高风险的资产或业务运作过程中的关键资产，然后根据基本的风险评估结果，将信息安全管理体系范围内的资产分成两类，一类需要再经过详细的风险评估过程，准确确定其风险等级，才可以采取适当的控制，达到应有的保护程度；另一类只需要根据基本的评估结果就可以确定其风险大小，进而选择控制。 什么是详细的风险评估？ 详细的风险评估包括资产的详细识别和估价，以及那些对资产的威胁和薄弱点程度的评估，上述结果被用于评估风险并随后被用于安全控制的识别和选择。 通过识别资产的风险并将风险降低到可

13、接受的水平，来证明管理者所采用的安全控制是适当的。 详细的风险评估可能是非常耗费财力的完整的过程，因此需要非常仔细的确定被评估的信息系统的业务环境、运作、信息及资产的边界。它需要管理者持续关注。 详细的风险评估方法是将安全风险作为资产、威胁及薄弱点的函数来进行识别与评估。根据风险评估结果，能够从有关安全管理标准中选择安全控制。基本风险评估活动涉及的具体内容有哪些？风险评估和管理任务基本风险评估活动资产识别和估价列出与信息安全管理体系范围内被评估的业务环境、运作和信息相关的资产。威胁评估使用通用或一般的常见威胁的列表，列出资产的威胁。薄弱点评估应用通用或一般的常见薄弱点的列表， 列出资产的薄弱点

14、。现有的和计划了的安全控制的识别根据前期的安全评审，对所有与资产相关联的现有的/计划了的控制进行识别和文件化。风险评估搜集由上述评估产生的有关资产、威胁和薄弱点的信息，使能够进行一个系统的、简单的风险测量概况。安全控制和降低的风险的识别和选择对于每一项列出的资产，确认相关的控制目标。应用与这些资产的每一个方面相关的威胁和薄弱点，选择相关联的控制，以完成这些目标。风险接受有可能需要采取进一步的控制措施来降低剩余风险。基本风险评估的优点有哪些？ 风险评估所需资源最少，简便易实施。 如果一个组织的多个部门或者多个信息安全管理体系的业务环境和信息安全要求是相似的、可比的，通过基本的风险评估来选择控制目

15、标和控制方式可能获得非常经济的效果。基本风险评估的缺点有哪些？由于基本的风险评估考虑的风险所采集的信息比较少，结果可能造成下面的偏差： 如果安全程度设置的过高，可能就需要过多的花费，而且可能导致某些系统限制过度；如果安全程度设置过低，某些系统可能就得不到充分的安全； 管理更改的安全性控制可能有困难。例如，如果信息安全管理体系升级，那么使用这种方法就很难评估最初的控制是否仍然充分。 联合评估方法的优点有哪些？ 联合评估方法将基本和详细风险评估方法优点结合起来，既节省评估所花费的时间与精力，又能确保获得一个全面系统的评估结果，而且，组织的资源与资金能够被应用在最能发挥作用的地方，具有高风险的信息系

16、统能够被预先关注。 联合评估方法的缺点有哪些？联合评估方法的缺点：如果对信息系统风险程度的高低鉴别不正确，那么它可能导致错误的结果，举例来说，一个需要应用详细风险评估方法的系统，被鉴别认为用基本的风险评估方法就可以达到足够的安全，这样的话，就不能将系统的风险精确完全的识别，从而不能为系统选择充分的控制措施。 详细风险评估活动涉及的具体内容有哪些？风险评估和管理任务详细风险评估活动资产识别和估价识别和列出信息安全管理范围内被评估的业务环境、运作和信息相关的所有资产，定义一个价值尺度并为每一项资产分配价值（保密性、完整性和可用性的价值）。威胁评估识别与资产相关的所有威胁，并根据它们发生的可能性和严

17、重性为它们赋值。薄弱点评估识别与资产相关的所有薄弱点，并根据它们被威胁利用的难易程度来为它们赋值。现有的和计划了的安全控制的识别根据前期评审，将所有现有的/计划了的与资产相关的安全控制进行识别和文件化。风险评估利用上述对资产、威胁、薄弱点的评价结果，进行风险计算，风险为资产的相对价值、威胁发生的可能性与薄弱点被利用的可能性的函数，采用适当的风险测量工具进行风险计算。安全控制和降低风险的识别和选择根据从上述评估中识别的风险，识别适当的安全控制需要，以阻止这些风险。识别与每一项被评估的风险相关的控制目标。根据与这些资产的每一项相关的威胁和薄弱点识别安全控制，以完成这些目标。最后，评估被选择的安全控

18、制多大程度上降低了被识别的风险。 风险接受对残余的风险加以分类，或是可接受的或是不可接受的。对那些被确认是不可接受的，决定选择更进一步的控制还是改变可接受风险的程度。详细风险评估的优点有哪些？ 详细风险评估的优点：一是获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求的安全程度；另一方面，可以从详细的风险评估中获得更多信息，使与组织更改相关的安全管理受益。 详细风险评估的缺点有哪些？ 详细风险评估的缺点是：它要花费相当多的时间、精力和技术去获得结果。有可能提出的安全要求大大滞后于时间要求，因为所有的系统都要经过同样仔细的评估分析，并耗费大量的时间去完成这样一个评估。 对于已识别

19、的风险组织应如何进行处理？ 组织识别了资产的风险之后，就面临着如何对这些风险进行处理的问题，风险处理方法大致包括以下三种： 降低风险 几乎所有的风险都能够被降低，组织可以从ISO/IEC 17799中选择适当的控制来有效的降低风险。 避免风险 完全避免某些风险可能非常容易，而且不需要太多的费用。例如使用一种不同的技术、改变一个程序，或实施一个通用的控制等。 转移风险 在风险不能或不易通过降低或避免而被消除的地方，经常用转移的方法。这种方式可以有效规避低可能性、高影响的风险，例如火灾、水灾、地震等不可抗力因素导致的风险。风险转移最常用的方法有参加保险和合同转包。接受风险 由于技术和费用的限制，在

20、不可接受的风险被降低或转移之后，还会有一些残留的风险。组织应确定哪些是可接受的风险，哪些是不可接受的风险，对于不可接受的风险应继续采取进一步的措施将其降低到可接受的水平。 风险控制过程涉及的活动有哪些？ 通过风险评估对风险进行识别后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。为了降低或消除信息安全管理体系范围所涉及到的被评估的风险，组织应识别和选择合理有效的安全控制，使风险降低到组织可接受的水平。安全控制的选择应以风险评估的结果作为依据，与威胁相关联的薄弱点表明什么地方需要保护，且应该采取何种形式的控制。然后组织应根据控制费用与风险平衡的原则，严格实施并保持所选择的安

21、全控制。组织在实施选择的控制后，总是有剩余的风险，组织应按照风险评估确定的风险测量方法对实施安全控制的剩余风险进行重新测量，确定哪些是“可接受的”，哪些是“不可接受的”。对于“不可接受的”风险应该考虑再增加控制，直到将其消除或者降低到可接受的水平。 安全控制可分为哪几类，每一类的作用是什么？ 组织应识别已采取的控制措施，并确认其有效性，保持有效的安全控制，取消不合适的安全控制，避免重复控制，浪费工作时间和费用。 另外，在风险评估之后选择的安全控制与现有的和计划的控制应保持一致。 安全控制可以分为预防性控制措施和保护性措施，预防性措施可以降低威胁发生的可能性和减少安全薄弱点，而保护性措施可以减少

22、因威胁发生所造成的影响，例如安排灾难恢复计划、参加商业保险等。安全控制可采用的具体方法如下： 避免风险产生；转移风险； 降低威胁事件发生概率；降低薄弱点出现的概率； 降低事件的潜在影响。 怎样才能确保识别全部重要信息资产？ 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。为了防止资产被忽视或遗忘，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，就是列出对组织或组织的特定部门的业务过程有价值的任何事物，即根据组织的业务流程来识别信息资产。影响威胁发生的可能性的因素有哪些？ 对组织需要保护的每一项关键信息资产进行威胁识别。在威

23、胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。确定威胁发生的可能性是风险评估的重要环节，组织应根据经验和有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响：资产的吸引力（适用有预谋的威胁）；资产转化成金钱的容易程度（适用有预谋的威胁）；威胁的技术含量（适用有预谋的威胁）；威胁发生的概率（适用偶然事件）；薄弱点被利用的难易程度(无论是技术薄弱点还是非技术薄弱点都适用)。 评估威胁发生的可能性需要考虑哪些方面？ 确认威胁来源（由谁或什么引发）和威胁目标（例如：可能被威胁影响的对象）以后，评估威胁发生的可能性是必要的。应考虑以下方面： 威胁的发生频率根据经验和统计判断多长时间发生一次；早有预谋的威胁预测此类威胁发生的必然可能性，对付可能的侵害来源； 意外的威胁地理因素，例如：接近化学和石油工厂，处于可能出现冷热极端天气条件下的区域，可能影响人员差错和设备故障的因素。 专心-专注-专业