資源描述:
《風(fēng)險評估與管理.ppt》由會員上傳分享�����,免費在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1���、風(fēng)險評估與管理PKSEC北京知識安全工程中心中訊集團培訓(xùn).2005年11月3日風(fēng)險評估與管理與風(fēng)險評估和風(fēng)險管理相關(guān)的概念解析信息安全風(fēng)險管理的一般過程風(fēng)險評估與風(fēng)險管理的其它問題1概念解析1.1與過程相關(guān)的概念風(fēng)險風(fēng)險管理風(fēng)險評估風(fēng)險分析風(fēng)險評價風(fēng)險處理資產(chǎn)威脅脆弱性防護措施1.2與要素相關(guān)的概念概念解析1-風(fēng)險風(fēng)險(risk)風(fēng)險是指遭受損害或損失的可能性����,是實現(xiàn)一個事件的不想要的負面結(jié)果的潛在因素��。對信息系統(tǒng)而言:兩種因素造成對其使命的實際影響:(1)一個特定的威脅源利用或偶然觸發(fā)一個特定的信息系統(tǒng)脆弱性的概率�;(2)上述事件
2、發(fā)生之后所帶來的影響����。概念解析1-風(fēng)險(續(xù))在ISO/IECGUIDE73將事件定義為:事件的概率及其結(jié)果的組合。注1通常�,只有至少存在產(chǎn)生不利結(jié)果可能性的情況下才使用“風(fēng)險”術(shù)語��。注2在某些情況下�,風(fēng)險是由偏離期望的結(jié)果或事件的可能性引起的��。概念解析2-風(fēng)險管理風(fēng)險管理(Riskmanagement)風(fēng)險管理指標(biāo)識��、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程���。風(fēng)險管理被認為是良好管理的一個組成部分�����。概念解析2-風(fēng)險管理對風(fēng)險管理的過程而言���,不同的方法或工具提供了不同的步驟,但是信息安全風(fēng)險管理可操作的
3���、相關(guān)過程和活動一般都要包括:確定評估范圍識別評估控制措施識別評估資產(chǎn)識別評估威脅選擇安全措施識別評估脆弱性確定風(fēng)險處理策略風(fēng)險評價制定安全計劃實施安全計劃風(fēng)險分析風(fēng)險處理概念解析3-風(fēng)險評估風(fēng)險評估(riskassessment)風(fēng)險評估指風(fēng)險分析和風(fēng)險評價的整個過程���。風(fēng)險評估是風(fēng)險管理的基礎(chǔ),是組織確定信息安全要求的途徑之一�,屬于組織信息安全管理體系策劃的過程。通過風(fēng)險評估識別組織所面臨的安全風(fēng)險并確定風(fēng)險控制的優(yōu)先等級�����,從而對其實施有效控制�,將風(fēng)險控制在組織可以接受的范圍之內(nèi)。概念解析3-風(fēng)險評估(續(xù))區(qū)分風(fēng)險評估和風(fēng)險管理風(fēng)險
4����、管理是把整個組織內(nèi)的風(fēng)險降低到可接受水平的整個過程。風(fēng)險管理是一個持續(xù)的周期����,通常以一定的間隔重新開始,來更新流程中各個階段的數(shù)據(jù)�。風(fēng)險管理是一個持續(xù)循環(huán),不斷上升的過程����。風(fēng)險評估是確定組織面臨的風(fēng)險并確定其優(yōu)先級的過程,是風(fēng)險管理流程中最必須�����,最謹慎的一個過程����。當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時��,如變動業(yè)務(wù)方法���、發(fā)現(xiàn)新的漏洞等,組織都可能會啟動風(fēng)險評估���。概念解析4-風(fēng)險分析風(fēng)險分析(riskanalysis)風(fēng)險分析是標(biāo)識安全風(fēng)險�����,確定其大小和標(biāo)識需要保護措施的區(qū)域的過程����,其目的是分離可接受的小風(fēng)險和不能接受的大風(fēng)險�����,為風(fēng)險評
5��、價和風(fēng)險處理提供數(shù)據(jù)��。概念解析4-風(fēng)險分析(續(xù))就風(fēng)險分析的方法而言��,目前應(yīng)用中沒有所謂的正確或錯誤的方法。一個組織選擇一個自己感覺順手����,可以信任���,且能產(chǎn)生可比較�����、可再現(xiàn)性的結(jié)果才是最重要的���。盡管評估風(fēng)險的方法有很多,但是大多數(shù)方法都是基于兩種方法或兩種方法的組合:定性的分析方法和定量的分析方法����。概念解析4-風(fēng)險分析(續(xù))定性分析方法定性分析方法是最廣泛使用的風(fēng)險分析方法。主要采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性����。該方法通常只關(guān)注威脅事件所帶來的損失,而忽略事件發(fā)生的概率�����。概念解析4-風(fēng)險分析
6、(續(xù))定量分析方法定量分析方法在后果和可能性分析中采用數(shù)值(不是定性分行中所使用的敘述性數(shù)值范圍)����,并采用從各種各樣的來源中得到的數(shù)據(jù)。定量分析步驟主要集中在現(xiàn)場調(diào)查階段�����,針對系統(tǒng)關(guān)鍵資產(chǎn)進行定量的調(diào)查����、分析,為后續(xù)評估工作提供參考依據(jù)���。概念解析4-風(fēng)險分析(續(xù))定性風(fēng)險分析示例(此示例來源于ISO/IEC13335-3)概念解析4-風(fēng)險分析(續(xù))步驟1:結(jié)果或影響的定性量度等級描述詳詳細描述1可以忽略無傷害���,低財物損失2較小立即受控制,中等財物損失3中等受控����,高財物損失4較大大傷害,失去生產(chǎn)能力�����,較大財物損失5災(zāi)難性持續(xù)能力中斷,
7���、巨大財物損失概念解析4-風(fēng)險分析(續(xù))步驟2:可能性的定性量度等級描述詳細描述A幾乎肯定預(yù)期在大多數(shù)情況下發(fā)生B很可能在大多數(shù)情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生概念解析4-風(fēng)險分析(續(xù))步驟3:從而得出風(fēng)險分析矩陣其中:E:要求立即采取措施H:需要高級管理部門的注意M:必須規(guī)定管理責(zé)任L:用日常程序處理概念解析4-風(fēng)險分析(續(xù))定量風(fēng)險分析的示例:概念解析4-風(fēng)險分析(續(xù))計算風(fēng)險的年預(yù)期損失ALE:AnnualRiskExpectancy年預(yù)期損失ARO:Annu
8����、alRateofOccurrence年發(fā)生率SLE:SingleLossExpectancy單一風(fēng)險預(yù)期損失ALE=ARO*SLE概念解析4-風(fēng)險分析(續(xù))兩種方法的比較:目前風(fēng)險分析方法以定性分析為主�。由于定性的分析方法不是用數(shù)學(xué)或
