資源描述:
《信息安全培訓(xùn)教程 第11章 信息安全風(fēng)險(xiǎn)管理與評估》由會員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1���、第11章信息安全風(fēng)險(xiǎn)管理與評估第11章信息安全風(fēng)險(xiǎn)管理與評估11.1風(fēng)險(xiǎn)管理概述無論是政府還是企業(yè)��,對于自身的信息安全都非常重視�。在這個(gè)數(shù)字化的時(shí)代,當(dāng)某個(gè)組織或企業(yè)為了更好地支持其業(yè)務(wù)而使用自動化信息技術(shù)系統(tǒng)處理其信息時(shí)�,風(fēng)險(xiǎn)管理就在保護(hù)該機(jī)構(gòu)的信息資產(chǎn)���,或者說其任務(wù)遠(yuǎn)離和IT相關(guān)的風(fēng)險(xiǎn)中扮演著關(guān)鍵的角色��。第11章信息安全風(fēng)險(xiǎn)管理與評估有效的風(fēng)險(xiǎn)管理過程是一個(gè)成功的IT安全規(guī)劃中的重要組成部分���。一個(gè)組織的風(fēng)險(xiǎn)管理過程中,最關(guān)鍵的目標(biāo)應(yīng)該是保護(hù)組織以及組織完成其任務(wù)的能力����,而不僅僅是其IT資產(chǎn)。而應(yīng)該是組織的一項(xiàng)實(shí)質(zhì)管理行為�。第11章信息安全風(fēng)險(xiǎn)管
2、理與評估11.1風(fēng)險(xiǎn)管理概述風(fēng)險(xiǎn)是對系統(tǒng)弱點(diǎn)進(jìn)行利用后產(chǎn)生的負(fù)面的影響����,包括這種影響的可能性和已經(jīng)發(fā)生的影響。風(fēng)險(xiǎn)管理是識別風(fēng)險(xiǎn)��、評估風(fēng)險(xiǎn)以及采取步驟降低風(fēng)險(xiǎn)到可接受范圍內(nèi)過程。風(fēng)險(xiǎn)是指在某個(gè)特定環(huán)境下����,在某一特定時(shí)間段內(nèi),特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)���,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性�,即特定威脅事件發(fā)生的可能性與后果的結(jié)合����。第11章信息安全風(fēng)險(xiǎn)管理與評估11.2風(fēng)險(xiǎn)管理的過程風(fēng)險(xiǎn)管理在項(xiàng)目管理中有非常重要的地位,具體來說其重要性表現(xiàn)在以下幾個(gè)方面:(1)有效的風(fēng)險(xiǎn)管理可以提高項(xiàng)目的成功率���。(2)提高對風(fēng)險(xiǎn)制定對策�����,就可以在風(fēng)險(xiǎn)發(fā)生時(shí)迅速作
3��、出反應(yīng)�����,避免忙中出錯(cuò)���,造成更大的損失��。(3)風(fēng)險(xiǎn)管理可以增加團(tuán)隊(duì)的健壯性(4)有效的風(fēng)險(xiǎn)管理可以幫助項(xiàng)目經(jīng)理抓住工作重點(diǎn)第11章信息安全風(fēng)險(xiǎn)管理與評估11.2.1風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)識別過程的活動是將不確定性轉(zhuǎn)變?yōu)槊鞔_的風(fēng)險(xiǎn)概述�����。包括以下幾個(gè)方面:(1)進(jìn)行風(fēng)險(xiǎn)評估�����。(2)系統(tǒng)地識別風(fēng)險(xiǎn)(3)將已知編寫為文檔。(4)交流已知風(fēng)險(xiǎn)第11章信息安全風(fēng)險(xiǎn)管理與評估11.2.2風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析過程的活動是將風(fēng)險(xiǎn)陳述轉(zhuǎn)變?yōu)榘磧?yōu)先順序排列為風(fēng)險(xiǎn)的列表��。(1)確定風(fēng)險(xiǎn)的驅(qū)動因素(2)分析風(fēng)險(xiǎn)來源(3)預(yù)測風(fēng)險(xiǎn)影響(4)對風(fēng)險(xiǎn)按照風(fēng)險(xiǎn)影響進(jìn)行優(yōu)先排序�����,優(yōu)先級特別高的風(fēng)險(xiǎn)優(yōu)
4�����、先處理第11章信息安全風(fēng)險(xiǎn)管理與評估11.2.3風(fēng)險(xiǎn)計(jì)劃風(fēng)險(xiǎn)計(jì)劃過程活動是將按優(yōu)先級排列的風(fēng)險(xiǎn)列表轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)應(yīng)對計(jì)劃��。(1)制定風(fēng)險(xiǎn)應(yīng)對策略��。風(fēng)險(xiǎn)應(yīng)對策略有接受、避免��、保護(hù)����、減少、研究��、儲備和轉(zhuǎn)移幾種方式��。(2)制定風(fēng)險(xiǎn)行動步驟���。風(fēng)險(xiǎn)行動步驟詳細(xì)說明了所選擇的風(fēng)險(xiǎn)應(yīng)對途徑第11章信息安全風(fēng)險(xiǎn)管理與評估11.2.4風(fēng)險(xiǎn)跟蹤風(fēng)險(xiǎn)跟蹤過程包括的活動包括監(jiān)視風(fēng)險(xiǎn)狀態(tài)以及發(fā)出通知啟動風(fēng)險(xiǎn)應(yīng)對行動�,包括以下內(nèi)容:(1)比較閾值和狀態(tài)通過項(xiàng)目控制面板獲取��。(2)對啟動風(fēng)險(xiǎn)進(jìn)行及時(shí)通告(3)定期通報(bào)風(fēng)險(xiǎn)的情況第11章信息安全風(fēng)險(xiǎn)管理與評估11.2.5風(fēng)險(xiǎn)應(yīng)對風(fēng)險(xiǎn)應(yīng)
5���、對過程的活動是執(zhí)行風(fēng)險(xiǎn)行動計(jì)劃���,以求將風(fēng)險(xiǎn)降至可接受程度,包括內(nèi)容:(1)對觸發(fā)事件的通知作出反應(yīng)(2)執(zhí)行風(fēng)險(xiǎn)行動計(jì)劃(3)對照計(jì)劃���,報(bào)告進(jìn)展(4)校正偏離計(jì)劃的情況第11章信息安全風(fēng)險(xiǎn)管理與評估11.3風(fēng)險(xiǎn)評估概述11.3.1風(fēng)險(xiǎn)評估簡介當(dāng)前����,無論是政府還是企業(yè),對于自身的信息安全都非常重視�����。因此���,企業(yè)信息安全風(fēng)險(xiǎn)評估再一次引起了業(yè)界的關(guān)注�����。第11章信息安全風(fēng)險(xiǎn)管理與評估風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)(Risk)指在某一特定環(huán)境下�,在某一特定時(shí)間段內(nèi)����,特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)�,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合
6�、。ISO27001要求組織通過風(fēng)險(xiǎn)評估來識別組織的潛在風(fēng)險(xiǎn)及其大小�,并按照風(fēng)險(xiǎn)的大小安排控制措施的優(yōu)先等級。第11章信息安全風(fēng)險(xiǎn)管理與評估風(fēng)險(xiǎn)評估(RiskAssessment)有時(shí)候也稱為風(fēng)險(xiǎn)分析,是組織使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估工具�����,對信息和信息處理設(shè)施的威脅(Threat)�����、影響(Impact)和薄弱點(diǎn)(Vulnerability)及其發(fā)生的可能性的評估�����,也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程�。風(fēng)險(xiǎn)評估是信息安全管理的基礎(chǔ),它為安全管理的后續(xù)工作提供方向和依據(jù)���,后續(xù)工作的優(yōu)先等級和關(guān)注程度都是由信息安全風(fēng)險(xiǎn)決定的�,而且安全控制的效果也必須通過對剩余風(fēng)險(xiǎn)的評
7�����、估來衡量����。風(fēng)險(xiǎn)評估是在一定范圍內(nèi)識別所存在信息安全風(fēng)險(xiǎn),并確定其大小的過程。風(fēng)險(xiǎn)評估保證信息安全管理活動可以有的放矢���,將有限的信息安全預(yù)算應(yīng)用到最需要的地方���,風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的前提。長期以來����,人們對保障信息安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)��、數(shù)據(jù)備份����、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測��、身份認(rèn)證等�。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力�,新的技術(shù)和產(chǎn)品不斷涌現(xiàn);消費(fèi)者也更加相信安全產(chǎn)品���,把僅有的預(yù)算投入到安全產(chǎn)品的采購上��。第11章信息安全風(fēng)險(xiǎn)管理與評估但實(shí)際情況是��,單純依靠技術(shù)和產(chǎn)品保障企業(yè)信息安全往往差強(qiáng)人意����。復(fù)雜多變的安全威脅和隱
8、患靠產(chǎn)品難以消除�����?����!叭旨夹g(shù)�����,七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來的實(shí)踐經(jīng)驗(yàn)和原則�����,在信息安全領(lǐng)域也同樣適用��。根據(jù)信息產(chǎn)業(yè)部披
