風(fēng)險(xiǎn)評(píng)估課程內(nèi)容分享ppt課件

1、風(fēng)險(xiǎn)評(píng)價(jià). 1 認(rèn)識(shí)風(fēng)險(xiǎn) 2 風(fēng)險(xiǎn)管理體系 3 風(fēng)險(xiǎn)評(píng)價(jià)方法 4 風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)程 課程內(nèi)容.1 認(rèn)識(shí)風(fēng)險(xiǎn) 1.1 參考資料 1.2 風(fēng)險(xiǎn)評(píng)價(jià)的需求 1.3 風(fēng)險(xiǎn)的定義 1.4 風(fēng)險(xiǎn)的要素 課程內(nèi)容.2 風(fēng)險(xiǎn)管理體系課程內(nèi)容 2.1 風(fēng)險(xiǎn)管理的概念 2.2 風(fēng)險(xiǎn)管理體系引見(jiàn) 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68 .3 風(fēng)險(xiǎn)評(píng)價(jià)的方法課程內(nèi)容 3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述 3.2 定量的風(fēng)險(xiǎn)評(píng)價(jià) 3.3 定性的風(fēng)險(xiǎn)評(píng)價(jià) 3.4 基于要素的風(fēng)險(xiǎn)評(píng)價(jià) 3.5 定性風(fēng)險(xiǎn)評(píng)價(jià)與定量評(píng)價(jià)的比較 .4 OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)程課程內(nèi)

2、容.課程練習(xí)練習(xí)1 識(shí)別風(fēng)險(xiǎn)練習(xí)2 定性的風(fēng)險(xiǎn)評(píng)價(jià)練習(xí)3 基于要素的風(fēng)險(xiǎn)評(píng)價(jià).練習(xí)一 識(shí)別風(fēng)險(xiǎn)請(qǐng)列舉五個(gè)信息平安的風(fēng)險(xiǎn)的例子，并按下面的要求進(jìn)展描畫(huà)。要求：按照資產(chǎn)資產(chǎn)所面臨的要挾能夠被要挾利用的脆弱點(diǎn)的順序來(lái)描畫(huà)每一個(gè)風(fēng)險(xiǎn)。. 1. 對(duì)練習(xí)一中所識(shí)別的風(fēng)險(xiǎn)進(jìn)展定性分析。 2. 要求： 1列出后果和能夠性的定性描畫(huà)級(jí)別 2根據(jù)風(fēng)險(xiǎn)分析矩陣評(píng)價(jià)風(fēng)險(xiǎn)的級(jí)別 3給出各級(jí)別風(fēng)險(xiǎn)的處置措施練習(xí)二 定性的風(fēng)險(xiǎn)評(píng)價(jià).背景：業(yè)務(wù)部門(mén)中有極的買(mǎi)賣(mài)及客戶(hù)資料這些資料放在公司共用的主機(jī)內(nèi)，并且運(yùn)用簡(jiǎn)單的用戶(hù)名和密碼系統(tǒng)管理業(yè)務(wù)部門(mén)的業(yè)務(wù)員外出時(shí)可利用筆記本電腦經(jīng)由國(guó)際互聯(lián)網(wǎng)到公司主機(jī)中存取該資料請(qǐng)分組討論要挾脆弱性

3、風(fēng)險(xiǎn)等級(jí)如何？ 練習(xí)三 基于要素的風(fēng)險(xiǎn)評(píng)價(jià).本卷須知 積極參與，活潑氣氛 守時(shí) 挪動(dòng)設(shè)置到靜音形狀 緊急情況下有次序疏散. 1.1 參考資料 1.2 風(fēng)險(xiǎn)評(píng)價(jià)的需求 1.3 風(fēng)險(xiǎn)的定義 1.4 風(fēng)險(xiǎn)的要素 1 認(rèn)識(shí)風(fēng)險(xiǎn).1.1 重要參考資料ISO 13335 17799 15408 BS 7799-2BSI PD3000AS/NZS 4360 OCTAVEGAO/AIMD 98-68.1.2 風(fēng)險(xiǎn)評(píng)價(jià)的目的組織為什么要進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)？. 組織實(shí)現(xiàn)信息平安的必要的、重要的步驟風(fēng)險(xiǎn)評(píng)價(jià)的目的1.2 風(fēng)險(xiǎn)評(píng)價(jià)的目的 了解組織的平安現(xiàn)狀 分析組織的平安需求 建立信息平安管理體系的要求 制定平安戰(zhàn)略和實(shí)施

4、安防措施的根據(jù).1.3 風(fēng)險(xiǎn)的定義普通字典的解釋?zhuān)猴L(fēng)險(xiǎn)：蒙受損害或損失的能夠性。.AS/NZS 4360：澳大利亞/新西蘭國(guó)家規(guī)范：風(fēng)險(xiǎn)：對(duì)目的產(chǎn)生影響的某種事件發(fā)生的時(shí)機(jī)。它可以用后果和能夠性來(lái)衡量。Risk: the chance of something happening that will have on impact upon objectives. It is measured in terms of consequences and likelihood. 1.3 風(fēng)險(xiǎn)的定義.后果 Consequence 以定性或定量方式表示的一個(gè)事件的結(jié)果，可以是損害、損傷、失利或獲利。能夠

5、性 Likelihood 用作對(duì)幾率或頻率的定性描畫(huà)。幾率 Probability 以事件或結(jié)果與能夠發(fā)惹事件或結(jié)果的總數(shù)之比來(lái)度量事件或結(jié)果的能夠性。用數(shù)字0或者1來(lái)表達(dá)。頻率 Frequency 以規(guī)定時(shí)間內(nèi)所發(fā)生的次數(shù)來(lái)表達(dá)的事件發(fā)生率的度量。1.3 風(fēng)險(xiǎn)的定義與風(fēng)險(xiǎn)有關(guān)的名詞： .ISO/IEC TR 13335-1:1996 平安風(fēng)險(xiǎn)：是指一種特定的要挾利用一種或一組脆弱性呵斥組織的資產(chǎn)損失或損害的能夠性。Risk: the potential that a given threat will exploit vulnerabilities of an asset or group

6、of assets to cause loss or damage to the assets. 1.3 風(fēng)險(xiǎn)的定義.在信息平安領(lǐng)域，什么是風(fēng)險(xiǎn)？1.3 風(fēng)險(xiǎn)的定義.信息平安的定義ISO17799： Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailability信息平安的三個(gè)特征： 嚴(yán)密性：確保只需被授權(quán)的人才可以訪問(wèn)信息； 完好性：確保信息和信息處置方法的準(zhǔn)確性和完好性； 可用性：確保在需求時(shí)，被授權(quán)的用戶(hù)可以訪問(wèn)信息和相關(guān) 的資產(chǎn)。 1.3 風(fēng)險(xiǎn)的定

7、義.信息平安風(fēng)險(xiǎn) 信息平安風(fēng)險(xiǎn)是指信息資產(chǎn)的嚴(yán)密性、完好性和可用性遭到破壞的能夠性。 信息平安風(fēng)險(xiǎn)只思索那些對(duì)組織有負(fù)面影響的事件。1.3 風(fēng)險(xiǎn)的定義.風(fēng)險(xiǎn)的四個(gè)要素： 資產(chǎn)及其價(jià)值 要挾 脆弱性 現(xiàn)有的和方案的控制措施1.4 風(fēng)險(xiǎn)的要素.資產(chǎn)是任何對(duì)組織有價(jià)值的東西信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值1.4 風(fēng)險(xiǎn)的要素資產(chǎn).1.4 風(fēng)險(xiǎn)的要素資產(chǎn)的分類(lèi) 電子信息資產(chǎn) 紙介資產(chǎn) 軟件資產(chǎn) 物理資產(chǎn) 人員 效力性資產(chǎn) 公司籠統(tǒng)和聲譽(yù).要挾要挾是能夠?qū)е滦畔⑵桨彩鹿屎徒M織信息資產(chǎn)損失的活動(dòng)要挾是利用脆弱性來(lái)呵斥后果1.4 風(fēng)險(xiǎn)的要素.要挾舉例：黑客入侵和攻擊病毒和其他惡意程序軟硬件缺點(diǎn)人為誤操作自然災(zāi)

8、禍如：地震、火災(zāi)、爆炸等盜竊網(wǎng)絡(luò)監(jiān)聽(tīng)供電缺點(diǎn)后門(mén)未授權(quán)訪問(wèn)1.4 風(fēng)險(xiǎn)的要素.脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或平安隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被要挾加以利用來(lái)對(duì)信息資產(chǎn)呵斥危害。1.4 風(fēng)險(xiǎn)的要素.脆弱性舉例：系統(tǒng)破綻程序Bug專(zhuān)業(yè)人員缺乏不良習(xí)慣系統(tǒng)沒(méi)有進(jìn)展平安配置物理環(huán)境不平安短少審計(jì)缺乏平安認(rèn)識(shí)后門(mén)1.4 風(fēng)險(xiǎn)的要素.風(fēng)險(xiǎn)要素之間的相互關(guān)系：1.4 風(fēng)險(xiǎn)的要素.要挾視圖：1.4 風(fēng)險(xiǎn)的要素.脆弱性視圖：1.4 風(fēng)險(xiǎn)的要素.影響視圖：1.4 風(fēng)險(xiǎn)的要素.練習(xí)一 識(shí)別風(fēng)險(xiǎn)請(qǐng)列舉五個(gè)信息平安的風(fēng)險(xiǎn)的例子，并按下面的要求進(jìn)展描畫(huà)。要求：按照資產(chǎn)資產(chǎn)所面臨的

9、要挾能夠被要挾利用的脆弱點(diǎn)的順序來(lái)描畫(huà)每一個(gè)風(fēng)險(xiǎn)。.2 風(fēng)險(xiǎn)管理體系 2.1 風(fēng)險(xiǎn)管理的概念 2.2 風(fēng)險(xiǎn)管理體系引見(jiàn) 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-68 .是指對(duì)潛在的時(shí)機(jī)和不利影響進(jìn)展有效管理的文化、程序和構(gòu)造。風(fēng)險(xiǎn)管理是由多個(gè)定義明確的步驟所組成的一個(gè)反復(fù)過(guò)程，這些步驟以較深化的洞察風(fēng)險(xiǎn)及其影響為更好的決策提供支持。風(fēng)險(xiǎn)管理：2.1 風(fēng)險(xiǎn)管理的概念.風(fēng)險(xiǎn)管理可運(yùn)用于一個(gè)組織或機(jī)構(gòu)的多個(gè)層次。它既可用于戰(zhàn)略層次又可用于運(yùn)作層次。它可用于詳細(xì)工程，以便協(xié)助做出詳細(xì)決議，或?qū)μ囟ㄕJ(rèn)可的風(fēng)險(xiǎn)領(lǐng)域加以管理?？山邮艿娘L(fēng)險(xiǎn)水準(zhǔn)可

10、以隨著每次循環(huán)得到提高，從而使風(fēng)險(xiǎn)管理逐漸到達(dá)更高要求。 風(fēng)險(xiǎn)管理的運(yùn)用時(shí)機(jī)2.1 風(fēng)險(xiǎn)管理的概念.2.2 風(fēng)險(xiǎn)管理體系引見(jiàn) 2.2.1 ISO17799：信息平安管理體系 2.2.2 AS/NZS4360：風(fēng)險(xiǎn)管理規(guī)范 2.2.1 GAO/AIMD 98-68：信息平安管理實(shí)施指南 .ISO17799信息平安管理體系2.2.1 ISO17799是協(xié)助組織以“風(fēng)險(xiǎn)管理為根底建立 “信息平安管理體系的國(guó)際規(guī)范。.信息平安管理體系建立步驟BS7799-2制定信息平安方針?lè)结樜臋n定義ISMS范圍進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施風(fēng)險(xiǎn)管理選擇控制目的措施預(yù)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISM

11、S范圍評(píng)價(jià)報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件2.2.1 ISO17799.1、建立環(huán)境2、識(shí)別風(fēng)險(xiǎn)3、分析風(fēng)險(xiǎn)4、評(píng)價(jià)和評(píng)價(jià)風(fēng)險(xiǎn)5、處置風(fēng)險(xiǎn)AS/NZS4360:建立風(fēng)險(xiǎn)管理系統(tǒng)的步驟2.2.2 AS/NZS 4360監(jiān)控和審查信息交流和咨詢(xún)Australian / New Zealand Standard for Risk Management .AS/NZS4360：風(fēng)險(xiǎn)管理流程2.2.2 AS/NZS 4360.1、建立環(huán)境 建立在風(fēng)險(xiǎn)過(guò)程中將出現(xiàn)的戰(zhàn)略、組織和風(fēng)險(xiǎn)管理的背景。應(yīng)建立對(duì)風(fēng)險(xiǎn)進(jìn)展評(píng)價(jià)的準(zhǔn)那么，并規(guī)定分析的構(gòu)造。2.2.2 AS/NZS 4360.2、鑒別風(fēng)險(xiǎn)

12、鑒定出會(huì)出現(xiàn)什么風(fēng)險(xiǎn)，為什么會(huì)出現(xiàn)和如何出現(xiàn)，作為進(jìn)一步分析的根底。2.2.2 AS/NZS 4360.3、風(fēng)險(xiǎn)分析 確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的后果和能夠性對(duì)風(fēng)險(xiǎn)進(jìn)展分析。這種分析應(yīng)思索到潛在后果的范圍和這些后果發(fā)生的能夠性有多大?？蓪⒑蠊湍軌蛐越Y(jié)合起來(lái)得到一個(gè)估計(jì)的風(fēng)險(xiǎn)程度。2.2.2 AS/NZS 4360.4、評(píng)價(jià)風(fēng)險(xiǎn) 將估計(jì)的風(fēng)險(xiǎn)程度與預(yù)先建立的規(guī)范進(jìn)展比較。這樣可將風(fēng)險(xiǎn)安等級(jí)陳列，以便鑒別管理的優(yōu)先順序。假設(shè)所建立的風(fēng)險(xiǎn)程度很低，此時(shí)的風(fēng)險(xiǎn)可以列入可接受的范疇，而不需作處置。2.2.2 AS/NZS 4360.5、處置風(fēng)險(xiǎn) 接受并監(jiān)控低優(yōu)先順序的風(fēng)險(xiǎn)。對(duì)于其他風(fēng)險(xiǎn)，

13、那么建立并實(shí)施一個(gè)特定管理方案，其中包括思索到資金的提供。2.2.2 AS/NZS 4360.6、監(jiān)控和檢查 對(duì)于風(fēng)險(xiǎn)管理系統(tǒng)的運(yùn)作情形以及能夠影響其運(yùn)轉(zhuǎn)的那 些變化進(jìn)展監(jiān)控和檢查。2.2.2 AS/NZS 4360.7、信息交流和咨詢(xún) 在風(fēng)險(xiǎn)管理過(guò)程的每個(gè)階段以及整個(gè)過(guò)程中，適時(shí)與內(nèi)部和外部的風(fēng)險(xiǎn)承當(dāng)者Stakeholder進(jìn)展信息交流和咨詢(xún)。2.2.2 AS/NZS 4360.Learning From Leading Organizations based on the best practices of of organizations noted for superior infor

14、mation security. 2.2.3 GAO/AIMD 98-68EXECUTIVE GUIDE: Information Security Management.Risk Management Cycle風(fēng)險(xiǎn)管理循環(huán)建立中心管理焦點(diǎn)識(shí)別風(fēng)險(xiǎn)和確定平安需求平安認(rèn)識(shí)和知識(shí)培訓(xùn)實(shí)施適宜的平安戰(zhàn)略和控制措施監(jiān)視并審查平安戰(zhàn)略和措施三的有效性2.2.3 GAO/AIMD 98-68.GAO/AIMD 98-68識(shí)別風(fēng)險(xiǎn)和確定平安需求建立中心管理焦點(diǎn)實(shí)施適宜的平安戰(zhàn)略和控制措施平安認(rèn)識(shí)和知識(shí)培訓(xùn)監(jiān)視并審查平安戰(zhàn)略和措施的有效性2.2.3 GAO/AIMD 98-68.1、評(píng)價(jià)風(fēng)險(xiǎn)和確定需求識(shí)別信

15、息資產(chǎn)按業(yè)務(wù)需求制定評(píng)價(jià)流程獲得管理者和業(yè)務(wù)經(jīng)理的支持基于繼續(xù)改良的方式進(jìn)展風(fēng)險(xiǎn)管理2.2.3 GAO/AIMD 98-68.2、建立中心管理焦點(diǎn)建立中心小組執(zhí)行關(guān)鍵活動(dòng)建立中心小組和高級(jí)管理者直接聯(lián)絡(luò)的渠道設(shè)立專(zhuān)項(xiàng)資金并配備相關(guān)人力資源培育員工的職業(yè)素質(zhì)和技術(shù)才干2.2.3 GAO/AIMD 98-68.3、實(shí)施適宜的戰(zhàn)略和相關(guān)措施將戰(zhàn)略與業(yè)務(wù)需求相對(duì)應(yīng)區(qū)分戰(zhàn)略和指南經(jīng)過(guò)中心組支持戰(zhàn)略的實(shí)現(xiàn)2.2.3 GAO/AIMD 98-68.4、加強(qiáng)平安認(rèn)識(shí)繼續(xù)培訓(xùn)用戶(hù)的平安認(rèn)識(shí)和相關(guān)戰(zhàn)略采取集中培訓(xùn)和友好界面技術(shù)2.2.3 GAO/AIMD 98-68.5、監(jiān)控和評(píng)價(jià)戰(zhàn)略、措施的有效性監(jiān)控影響風(fēng)險(xiǎn)的

16、要素和措施的有效性運(yùn)用實(shí)施結(jié)果來(lái)制定后續(xù)措施的制定及管理者的支持關(guān)注新的監(jiān)控工具和技術(shù)2.2.3 GAO/AIMD 98-68.3 風(fēng)險(xiǎn)評(píng)價(jià)方法 3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述 3.2 定量的風(fēng)險(xiǎn)評(píng)價(jià) 3.3 定性的風(fēng)險(xiǎn)評(píng)價(jià) 3.4 基于要素的風(fēng)險(xiǎn)評(píng)價(jià) 3.5 定性風(fēng)險(xiǎn)評(píng)價(jià)與定量評(píng)價(jià)的比較 .定義： 組織確認(rèn)本人所擁有的資產(chǎn)，分析資產(chǎn)所面對(duì)的要挾、所具有的脆弱性、損害發(fā)生的能夠性、損害的程度等，并最終得出資產(chǎn)所面臨的風(fēng)險(xiǎn)等級(jí)的過(guò)程。3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.資產(chǎn)識(shí)別確定要挾Threat)識(shí)別脆弱性Vulnerability)實(shí)施控制方法原那么：不論運(yùn)用哪一種風(fēng)險(xiǎn)評(píng)價(jià)的方法或工具，其內(nèi)容 都應(yīng)包括以下

17、四個(gè)要素：3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.資產(chǎn)價(jià)值能夠脅迫資產(chǎn)的要挾和其發(fā)生的能夠性因脆弱點(diǎn)被要挾利用而呵斥沖擊的容易度目前或方案中能夠降低脆弱點(diǎn)、要挾和沖擊嚴(yán)重性的維護(hù)措施換句話說(shuō)，風(fēng)險(xiǎn)是以下事項(xiàng)的作用：3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.要思索影響和能夠性在決議所需控制方法時(shí)，對(duì)既有控制方法的評(píng)價(jià)是必需的控制方法只能將風(fēng)險(xiǎn)降低到可接受的程度百分之百的平安，并不是平安管理的目的。3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述留意.定量分析定性分析綜合方法3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述風(fēng)險(xiǎn)評(píng)價(jià)的途徑：.定量分析：對(duì)后果和能夠性進(jìn)展分析采用量化的數(shù)值描畫(huà)后果估計(jì)出能夠損失的金額和能夠性概率或頻率分析的有效性取決于所用的數(shù)值準(zhǔn)確度和完好性。

18、3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.定性分析適用于：初始的挑選活動(dòng)，以鑒定出需求更仔細(xì)分析的風(fēng)險(xiǎn)風(fēng)險(xiǎn)程度和經(jīng)濟(jì)上的思索數(shù)據(jù)缺乏以進(jìn)展定量分析的情況定性分析：對(duì)后果和能夠性進(jìn)展分析采用文字方式或表達(dá)性的數(shù)值范圍描畫(huà)風(fēng)險(xiǎn)的影響程度和能夠性的大小如高、中、低等分析的有效性取決于所用的數(shù)值準(zhǔn)確度和完好性。3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.半定量分析：在半定量分析中，上述的那些定性數(shù)值范圍均為知值。每項(xiàng)闡明所指的數(shù)字并不一定與后果或能夠性的實(shí)踐大小程度具有準(zhǔn)確的關(guān)系。半定量分析的目的是為了得到比通常在定性分析中所得到的更為詳細(xì)的風(fēng)險(xiǎn)程度，但并非要提出任何在定量分析中所得到的風(fēng)險(xiǎn)實(shí)踐值。3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.風(fēng)險(xiǎn)分析方

19、法許多方法都會(huì)運(yùn)用表格并結(jié)合客觀和閱歷判別目前并沒(méi)有運(yùn)用所謂正確或錯(cuò)誤的方法重要的是選擇運(yùn)用一個(gè)適宜本組織的方法同一組織內(nèi)，也可以根據(jù)不同等級(jí)的風(fēng)險(xiǎn)，運(yùn)用不同的風(fēng)險(xiǎn)分析方法對(duì)信息平安的評(píng)價(jià)很難量化3.1 風(fēng)險(xiǎn)評(píng)價(jià)方法概述.當(dāng)部分的公司資產(chǎn)已具有量化的價(jià)值利用財(cái)務(wù)的手法算出風(fēng)險(xiǎn)呵斥的財(cái)務(wù)損失再根據(jù)損失的大小決議風(fēng)險(xiǎn)等級(jí)定量的風(fēng)險(xiǎn)分析3.2 定量的風(fēng)險(xiǎn)分析.SLAsingle-time loss Algorithm) 當(dāng)一個(gè)風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)資產(chǎn)價(jià)值呵斥多大的財(cái)務(wù)損失ALE Annualized loss Exposure) 年度風(fēng)險(xiǎn)損失后果定量分析3.2 定量的風(fēng)險(xiǎn)分析.年度化損失運(yùn)算表頻率不可能

20、0.0300年一次 1/300 0.00333200年一次 1/200 0.003100年一次 1/100 0.0150年一次 1/50 0.0225年一次 1/25 0.045年一次 1/5 0.203.2 定量的風(fēng)險(xiǎn)分析.2年一次 1/2 0.51年一次 1/1 1.01年二次 1/0.5 2.01個(gè)月一次 12/1 12.01星期一次 52/1 52.01天一次 365/1 365.03.2 定量的風(fēng)險(xiǎn)分析年度化損失運(yùn)算表頻率續(xù).簡(jiǎn)易的定量計(jì)算公式： 資產(chǎn)價(jià)值v)乘以能夠性L可以得出 ALE 年度風(fēng)險(xiǎn)損失，即： ALE = V L3.2 定量的風(fēng)險(xiǎn)分析.定性的風(fēng)險(xiǎn)分析從風(fēng)險(xiǎn)發(fā)生能夠性及呵

21、斥的后果來(lái)思索風(fēng)險(xiǎn)的等級(jí)對(duì)于后果和能夠性采用定性度量并在最后階段歸納出不同等級(jí)風(fēng)險(xiǎn)的方法3.3 定性的風(fēng)險(xiǎn)分析.后果或影響的定性量度例如等級(jí)描述 詳細(xì)情形 1可以忽略無(wú)傷害，低財(cái)務(wù)損失 2 較小立即受控制，中等財(cái)務(wù)損失 3 中等 受控，高財(cái)務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失3.3 定性的風(fēng)險(xiǎn)分析.能夠性的定性量度例如等級(jí)描述 詳細(xì)情形 A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生 B很可能在大多數(shù)情況下很可能會(huì)發(fā)生 C可能在某個(gè)時(shí)間可能會(huì)發(fā)生 D不太可能在某個(gè)時(shí)間能夠發(fā)生 E罕見(jiàn)僅在例外的情況下可能發(fā)生3.3 定性的風(fēng)險(xiǎn)分析.風(fēng)險(xiǎn)分析矩陣風(fēng)險(xiǎn)程度 可能性

22、后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見(jiàn)）LLMHH E：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等風(fēng)險(xiǎn) L: 低風(fēng)險(xiǎn)3.3 定性的風(fēng)險(xiǎn)分析.E：極度風(fēng)險(xiǎn)-要求立刻采取措施H：高風(fēng)險(xiǎn)-需求高級(jí)管理部門(mén)的留意M：中等風(fēng)險(xiǎn)-必需規(guī)定管理責(zé)任L: 低風(fēng)險(xiǎn)-用日常程序處置風(fēng)險(xiǎn)的處置措施例如3.3 定性的風(fēng)險(xiǎn)分析. 1. 對(duì)練習(xí)一中所識(shí)別的風(fēng)險(xiǎn)進(jìn)展定性分析。 2. 要求： 1列出后果和能夠性的定性描畫(huà)級(jí)別 2根據(jù)風(fēng)險(xiǎn)分析矩陣評(píng)價(jià)風(fēng)險(xiǎn)的級(jí)別 3給出各級(jí)別風(fēng)險(xiǎn)的處置措施練習(xí)二 定性的風(fēng)險(xiǎn)評(píng)價(jià).風(fēng)險(xiǎn)的函數(shù)表達(dá)：R

23、= f a, v, t R：風(fēng)險(xiǎn) a：資產(chǎn)的價(jià)值 v：資產(chǎn)本身的脆弱性 t：資產(chǎn)所面臨的要挾3.4 基于要素的風(fēng)險(xiǎn)分析.1.資產(chǎn)的價(jià)值 運(yùn)用ISO17799中對(duì)信息平安的定義來(lái)衡量資產(chǎn)價(jià)值：ConfidentialityIntegrityAvailability3.4 基于要素的風(fēng)險(xiǎn)分析.1.資產(chǎn)的價(jià)值保密性（C）價(jià)值分類(lèi)詳細(xì)說(shuō)明 1公開(kāi)資訊非敏感的資訊，公用的資訊處理設(shè)施和系統(tǒng)資源 2內(nèi)部使用非敏感但僅限公司內(nèi)部使用的資訊（非公開(kāi)） 3限定使用受控的資訊，需有業(yè)務(wù)需求方得以授權(quán)使用 4秘密敏感的資訊，資訊處理設(shè)施和系統(tǒng)資源只給必知者 5極機(jī)密敏感資訊，資訊處理設(shè)施和系統(tǒng)資源僅適用及少數(shù)必知者

24、。3.4 基于要素的風(fēng)險(xiǎn)分析.完整性（I）價(jià)值分類(lèi)詳細(xì)說(shuō)明 1非常低未經(jīng)授權(quán)的破壞或修改不會(huì)對(duì)資訊系統(tǒng)造成重大影響且或?qū)I(yè)務(wù)沖擊可忽略 2 低未經(jīng)授權(quán)的破壞或修改不會(huì)對(duì)資訊系統(tǒng)造成重大影響且或?qū)I(yè)務(wù)沖擊輕微 3 中等未經(jīng)授權(quán)的破壞或修改已對(duì)資訊系統(tǒng)造成影響且或?qū)I(yè)務(wù)有明顯沖擊 4 高未經(jīng)授權(quán)的破壞或修改對(duì)資訊系統(tǒng)有重大影響且或?qū)I(yè)務(wù)嚴(yán)重 5非常高未經(jīng)授權(quán)的破壞或修改對(duì)資訊系統(tǒng)有重大影響且可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷。1.資產(chǎn)的價(jià)值3.4 基于要素的風(fēng)險(xiǎn)分析.可用性（A）價(jià)值分類(lèi)詳細(xì)說(shuō)明1非常低合法使用者對(duì)信息系統(tǒng)及資源的存取可用度在正常上班時(shí)間至少達(dá)到25%以上。2低合法使用者對(duì)信息系統(tǒng)及資源的存取

25、可用度在正常上班時(shí)間至少達(dá)到50%以上。3中等合法使用者對(duì)信息系統(tǒng)及資源的存取可用度在正常上班時(shí)間至少達(dá)到100%以上。4高合法使用者對(duì)信息系統(tǒng)及資源的存取可用度達(dá)到每天95%以上。5非常高合法使用者對(duì)信息系統(tǒng)及資源的存取可用度達(dá)到每天99.9%以上。1.資產(chǎn)的價(jià)值3.4 基于要素的風(fēng)險(xiǎn)分析.資產(chǎn)的價(jià)值資產(chǎn)的維護(hù)是信息平安和風(fēng)險(xiǎn)管理的首要目的。每個(gè)資產(chǎn)都應(yīng)該被識(shí)別與評(píng)價(jià)以提供適當(dāng)維護(hù)。資產(chǎn)的擁有者與運(yùn)用者須清楚識(shí)別。應(yīng)清點(diǎn)資產(chǎn)并建立資產(chǎn)清單3.4 基于要素的風(fēng)險(xiǎn)分析.識(shí)別資產(chǎn)的脆弱性 資產(chǎn)本身的平安問(wèn)題是什么？ 這個(gè)資產(chǎn)短少什么平安措施？分析脆弱程度 這個(gè)脆弱性被利用的程度有多高？ 相對(duì)的防護(hù)

26、措施有效性？定義脆弱性的計(jì)量 可利用“低， “中， “高來(lái)表示。2.脆弱性分析3.4 基于要素的風(fēng)險(xiǎn)分析.識(shí)別資產(chǎn)的要挾鑒別要挾的目的什么資產(chǎn)會(huì)被要挾？為什么會(huì)呵斥這要挾？找出要挾的相關(guān)性它有影響嗎？重要或嚴(yán)重嗎？有沒(méi)有被它利用的脆弱點(diǎn)？鑒別要挾的能夠性利用“不能夠，“能夠，“非常能夠來(lái)表示3.要挾分析3.4 基于要素的風(fēng)險(xiǎn)分析.風(fēng)險(xiǎn)計(jì)算：項(xiàng) 目要挾等級(jí)低中高脆弱性等級(jí)低中高低中高低中高資產(chǎn)價(jià)值001212323311232343452234345456334545656744565676783.4 基于要素的風(fēng)險(xiǎn)分析.背景：業(yè)務(wù)部門(mén)中有極的買(mǎi)賣(mài)及客戶(hù)資料這些資料放在公司共用的主機(jī)內(nèi)，并且運(yùn)用

27、簡(jiǎn)單的用戶(hù)名和密碼系統(tǒng)管理業(yè)務(wù)部門(mén)的業(yè)務(wù)員外出時(shí)可利用筆記本電腦經(jīng)由國(guó)際互聯(lián)網(wǎng)到公司主機(jī)中存取該資料請(qǐng)分組討論要挾脆弱性風(fēng)險(xiǎn)等級(jí)如何？ 練習(xí)三 基于要素的風(fēng)險(xiǎn)分析.定性風(fēng)險(xiǎn)分析的優(yōu)點(diǎn) 1. 簡(jiǎn)易的計(jì)算方式 2. 不用準(zhǔn)確算出資產(chǎn)價(jià)值 3. 不需得到量化的要挾發(fā)生率 4. 非技術(shù)或非平安背景的員工也能隨便參與 5. 流程和報(bào)告方式比較有彈性定性風(fēng)險(xiǎn)分析的缺陷 1. 本質(zhì)上是非?？陀^的 2. 對(duì)關(guān)鍵資產(chǎn)的財(cái)務(wù)價(jià)值評(píng)價(jià)參考性較低 3. 缺乏對(duì)風(fēng)險(xiǎn)降低的本錢(qián)分析3.5 定性分析與定量分析的比較.定量風(fēng)險(xiǎn)分析的優(yōu)點(diǎn) 1. 大體來(lái)說(shuō)其結(jié)果都是建立在獨(dú)立客觀的程序或量化目的上 2. 大部分的任務(wù)集中在制定資

28、產(chǎn)價(jià)值和減緩能夠風(fēng)險(xiǎn) 3. 主要目的是做本錢(qián)效益的審核定量風(fēng)險(xiǎn)分析的缺陷 1. 風(fēng)險(xiǎn)計(jì)算方法復(fù)雜 2. 需求自動(dòng)化工具及相當(dāng)?shù)母字R(shí) 3. 投入大 4. 個(gè)人難以執(zhí)行 5. 很難中途改動(dòng)方向 6. 不會(huì)有范圍之外的結(jié)果3.5 定性分析與定量分析的比較.定性風(fēng)險(xiǎn)分析是一切風(fēng)險(xiǎn)分析的方法中，最容易也是最常被運(yùn)用的方法?？墒且彩亲羁陀^的。其結(jié)果高度依存于RMT風(fēng)險(xiǎn)管理小組的專(zhuān)業(yè)才干。需求一套系統(tǒng)化的執(zhí)行步驟，來(lái)協(xié)助RMT的執(zhí)行成果更接近預(yù)期的效果。定性風(fēng)險(xiǎn)分析3.5 定性分析與定量分析的比較.4 OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施過(guò)程O(píng)CTAVEThe Operationally Critical Threat, Asset, and Vulnerability Evaluation 美國(guó)Carnegie Mellon大學(xué)軟件工程研討所開(kāi)發(fā) 用于信息平安的評(píng)價(jià) 采用定性的評(píng)價(jià)方法.4 OCTAVE風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施過(guò)程O(píng)CTAVE的三個(gè)階段 階段一：建立基于資產(chǎn)的要挾概要文件對(duì)組織層面進(jìn)展評(píng)價(jià)識(shí)別出重要的信息資產(chǎn)、這些資產(chǎn)所受的要挾、它們的平安需求、組織目前的資產(chǎn)維護(hù)措施、以及組織的脆弱性。階段二：識(shí)別根底設(shè)備的脆弱性評(píng)價(jià)信息根底設(shè)備檢查IT根底設(shè)備關(guān)鍵組件，識(shí)別技