信息安全風險評估論方法介紹(風險評估內部培訓材料)課件

1、信息安全風險評估論方法介紹 風險管理概念風險評估方法風險評估步驟和計劃1 23什么是風險什么是風險直接感受水災？火災？偷盜？恐怖襲擊？停電？骨干網停運？3是一種事件的可能性，它的發(fā)生會給我們造成不幸。什么是風險遭受傷害或損失的可能性，危險 （一般詞義） 投資的實際回報不同于預期的機會。包括可能損失所有的或部分的投資。（金融詞義）4什么是風險風險：不確定性對目標的影響。ISO31000：2009風險管理就是要在發(fā)掘業(yè)務機會的同時管控不確定性。5風險管理的幾個重要概念風險評估：風險識別、風險分析以及風險評價的整個過程。風險處置：修正風險的過程。風險控制：修正風險的措施。殘余風險：是指經過風險處理后

2、仍剩余的風險。6平衡7安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風險管理目的發(fā)掘業(yè)務機會管控不確定性8風險管理回報率風險風險管理模型風險管理模型（ISO 31000）9構建環(huán)境風險識別風險分析風險評價風險處置溝通與協商監(jiān)控與評審ISO27001:2013第4章ISO27001:2013第9章ISO27001:2013第7章ISO27001:2013第6.1.3節(jié)ISO27001:2013第6.1.2節(jié)風險管理概念風險評估方法風險評估步驟和計劃1 23選擇風險評估方法根據 ISO27001:2013 標準，風險評估采用何種方法不作要求，只要能識別出風險即可。在

3、IT管理領域，可采用的常見評估方法：影響度/可能性分析：針對特定的系統(tǒng)、服務或管理領域梳理風險場景，分析風險發(fā)生導致后果造成的影響程度，以及該風險發(fā)生的概率（可能性）；差距評估：如有相關標準或法規(guī)作為評估依據，或相關方給定了檢查項清單（Checklist），可直接采用“對標”式的差距分析方法，識別相關合規(guī)性風險；頭腦風暴：針對特定的管理或技術領域，組織相關人員進行頭腦風暴，窮舉該領域范圍內存在的問題和潛在風險；失效模式和效應分析：針對特定的系統(tǒng)、服務，采取失效模式和效應分析（FMEA），梳理服務或服務組件發(fā)生故障的場景，分析這些故障的影響、潛在原因，識別可以降低或避免故障影響的方法；業(yè)務影響分

4、析：在連續(xù)性管理流程中，采取業(yè)務影響分析（BIA）方法，識別系統(tǒng)、服務的目標恢復要求（RTO、RPO）、最低運營要求（MOR），分析當前存在的差距和解決方案。以下介紹的評估方法，按照“影響度/可能性”模型設計。11風險評估12資產及其價值威脅后果或影響現有控制措施風險評估可能性脆弱性(弱點)關系值1314通俗理解場景：我口袋里有100塊錢，在火車站，因為打瞌睡，被小偷偷走了，搞得晚上沒飯吃。資產 = 脆弱性 = 威脅 = 風險 = 后果 = 100元錢 打瞌睡 小偷 錢被小偷偷走 錢被偷，沒飯吃 保密性可用性完整性People人Process、Services流程、服務Media、Equipm

5、ent介質、設備Software數據庫、應用軟件、操作系統(tǒng)Information信息識別信息及其載體15保密性：信息只對授權的個人、主體或流程可用的特性完整性：保護信息的精確與完整的特性可用性：在需要時，被授權的主體可訪問和可使用的特性信息價值：識別信息及其載體舉例：硬件：硬件設備及電子介質（服務器、存儲、磁帶及其他移動介質等）故障，導致其創(chuàng)建、存儲、傳輸、處理的信息丟失或不可訪問軟件：紙質文件由于不耐火、不耐水、不耐蟲蛀鼠咬等原因而損毀紙質記錄：紙質文件由于不耐火、不耐水、不耐蟲蛀鼠咬等原因而損毀流程：流程步驟不合規(guī)、不落地，職責不明確，或者缺乏必要的資源支持，導致流程輸出信息不可用服務：與

6、供方的合同或服務級別協議不清晰，權責劃分不清，供方服務不穩(wěn)定或中止，發(fā)生知識產權歸屬糾紛，影響我方IT服務及相關信息的可用性人員：人員法律意識、安全意識不足，無意中或受到外部社會工程學攻擊（引誘、脅迫、欺騙等）引發(fā)敏感信息泄漏16基于“信息載體”的風險場景識別：確定識別風險場景的維度：信息載體類型、風險來源風險場景是否符合實際環(huán)境風險場景主要影響信息的C、I、A哪項屬性信息安全風險評估方法原理17信息載體風險信息信息價值安全需求安全措施殘余風險具有依賴依賴導出引發(fā)未控制降低面臨可能性影響度降低安全事件決定決定引發(fā)影響信息安全風險評估實施流程風險評估準備信息識別信息載體識別風險場景識別已有安全措

7、施的確認風險計算保持已有安全措施制定風險處理計劃并評估殘余風險實施風險管理風險是否接受是否接受殘余風險第一步第二步第三步信息安全風險評估準備工作19準備內容：確定評估目標、范圍；確定評估依據和方法：適用的管理體系和法律法規(guī)、監(jiān)管要求；選擇適用的風險評估方法；確認風險評價和風險接受準則；組建風險評估團隊；聽取最高管理者對本次風險評估的指示。組織實施風險評估是一種戰(zhàn)略性的考慮，其結果將受到組織的業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結構等方面的影響。風險分析理解風險性質、確定風險級別：識別風險的后果嚴重性（影響度）估算風險發(fā)生的概率（可能性）確定風險的級別：計算風險可能性和影響度時需要考慮當前已

8、有的控制措施以及控制的有效性可能性賦值時需要考慮防范風險發(fā)生的控制措施以及控制影響度賦值時需要考慮風險發(fā)生后的補救措施20風險值 = 信息價值 影響度 可能性識別信息及其載體21保密性賦值（C）描述賦值等級5高僅限少數人知悉，關乎企業(yè)的重大利益或競爭力，如果泄露會造成非常嚴重的損害。3中影響企業(yè)利益，如果泄露可能會造成一定程度的損害。1低可以對外公開。完整性賦值（I）描述賦值等級5高未經授權的修改或破壞，將難以恢復，會對企業(yè)的形象、利益造成難以彌補的重大影響。3中未經授權的修改或破壞，會對企業(yè)利益造成一定程度的沖擊，但可以彌補。1低未經授權的修改或破壞，造成的影響可以忽略不計?？捎眯再x值（A）

9、描述賦值等級5高不可用或不可訪問時，對業(yè)務有嚴重影響，必須優(yōu)先恢復，可用性要求極高。3中不可用或不可訪問時，對業(yè)務有一定影響，應盡快恢復，可用性要求較高。1低不可用或不可訪問時，對業(yè)務的影響較小，恢復時間要求不高，可用性要求相對較低。可能性、影響度賦值22可能性賦值描述賦值等級5高基于現有的安全控制措施，該風險極有可能會發(fā)生；或曾經發(fā)生多次（平均每年1次或1次以上）；或曾經偶爾發(fā)生（平均每年少于1次），但發(fā)生頻率呈上升趨勢。3中基于現有的安全控制措施，該風險較有可能會發(fā)生；或曾經偶爾發(fā)生（平均每年少于1次）；或雖然尚未發(fā)生過，但無法保證其不會發(fā)生。1低基于現有的安全控制措施，該風險發(fā)生的可能性

10、較?。换蜻^去極少發(fā)生（如：歷史上僅1次），且以后也幾乎不會發(fā)生。影響度賦值描述賦值等級5高風險發(fā)生后，現有安全控制措施無法有效應對，造成的損害是嚴重且難以彌補的，或者需要很長時間才能恢復，面臨著上級/監(jiān)管壓力、客戶壓力和輿論壓力。3中風險發(fā)生后，現有安全控制措施可以適當發(fā)揮作用，造成一定的損害但可以彌補，或者可以在較短時間內恢復。1低風險發(fā)生后，現有安全控制措施基本可以應對，造成的損害可忽略不計，或者可以迅速恢復。風險評價對識別出的風險的嚴重程度，按照風險評價準則進行比較，以確定是否可接受，是否需要處置。風險接受準則：最終確認是否處置，應由最高管理層及各風險責任人（Risk Owner）進行確

11、認。23不可接受的風險（高）不可接受的風險（中）可接受的風險（低）默認需要處置是否處置待定默認不需處置風險清單風險處置方法風險規(guī)避 risk avoidance決定不陷入風險，或從風險處境中撤離的行為 風險降低 risk reduction采取行動降低風險發(fā)生的可能性或減輕負面后果，或同時降低風險發(fā)生的可能性和減輕負面后果風險轉移 risk transfer與其它組織分擔風險的損失或收益 風險自留（接受） risk retention接受特定風險帶來的損失或收益 24風險處置25某企業(yè)產品出現了質量問題，聲稱是因原料供應商所供原料不合格。醫(yī)院在給病人施行手術之前，要求病人家屬簽字同意。 看到近

12、期股票大跌，于是將本要投資股市的錢存入銀行。 發(fā)現QQ有風險，直接禁止使用。 為避免泄密可能帶來的損失，單位要求相關人員簽訂保密協議。風險轉移風險規(guī)避風險降低評估出的風險在1,2級的非重要風險，暫時不采取處置措施?；蛘哒f嚴重的風險，但是處理起來成本比較高。風險接受選擇風險處置方法時應考慮的因素經濟合理性（處置風險控制措施越多越嚴格，成本越高）法律法規(guī)、監(jiān)管要求合規(guī)性與企業(yè)文化的一致性利益相關方的觀點社會責任，如：環(huán)境因素對組織內的其他方或利益相關方的影響執(zhí)行中的工作習慣、觀點和認知26風險級別處置成本制定風險處置計劃時應考慮的因素為實施所需的信息安全過程、策略、程序、控制措施，應采取什么行動？

13、風險處置的優(yōu)先次序執(zhí)行風險處置需要哪些資源（人力、預算、技術、服務、流程）誰是風險的責任人（Risk Owner），有誰作為風險處置責任人？（通常是組織的高級管理層人員，例如：CEO、CIO、CFO，或者是經他們授權的管理層人員）風險處置何時開始，何時結束？風險處置結果如何測量、評價，以確認達到預期結果？27殘余風險評估考慮和評估實施控制措施之后仍然存在的殘余風險：基于采取的風險處置措施，是否能夠滿足已識別的安全要求：是否有效？是否造成了新的問題？新的問題是否可能引發(fā)新的風險？分析是否需要更多的控制措施才能達到風險控制的目的，以及風險接受準則。與利益相關方就已完成的工作、已做了什么、以及對他們工作職能的影響進行溝通。28風險風險級別處置之前的風險級別處置之后的風險級別殘余風險風險管理概念風險評估方法風險評估步驟和計劃1 23風險評估步驟示例30XX部基于納入風險評估范圍的系統(tǒng)，提供資產清單。由風險評估負責人、服務負責人、產品負責人進行補充。1各服務負責人梳理資產上所承載的本服務的