信息安全導(dǎo)論

信息安全導(dǎo)論

IntroductiontoInformationSecurity中央財(cái)經(jīng)大學(xué)信息學(xué)院第12章信息安全管理與審計(jì)信息安全管理體系信息安全風(fēng)險(xiǎn)評(píng)估信息安全審計(jì)本章小結(jié)12.1

信息安全管理體系12.1.1信息安全管理體系概念12.1.2信息安全管理體系過程方法12.1.3信息安全管理體系構(gòu)建流程12.1.4信息安全管理標(biāo)準(zhǔn)防火墻能解決這樣的問題嗎？WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)12.1信息安全管理體系信息安全管理需求信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過程應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程12.1信息安全管理體系三分技術(shù)，七分管理?yè)?jù)有關(guān)統(tǒng)計(jì)，信息安全事件中大約有70%以上的問題都是由于管理方面的原因造成的。數(shù)據(jù)來(lái)源CNCERT/CC12.1信息安全管理體系信息安全需要對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和架構(gòu)，并需要兼顧組織內(nèi)外不斷變化的發(fā)生的變化。木桶原理：信息系統(tǒng)安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)所決定要實(shí)現(xiàn)信息安全目標(biāo)，一個(gè)組織必須使構(gòu)成安全防范體系的這只“木桶”的所有木板都達(dá)到一定的長(zhǎng)度。信息安全工程要實(shí)現(xiàn)良好的信息安全，需要信息安全技術(shù)和信息安全管理有效地配合12.1信息安全管理體系信息安全技術(shù)層面建設(shè)安全的主機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，包括物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全等配備一定的安全產(chǎn)品，如數(shù)據(jù)加密產(chǎn)品、數(shù)據(jù)存儲(chǔ)備份產(chǎn)品、系統(tǒng)容錯(cuò)產(chǎn)品、防病毒產(chǎn)品、安全網(wǎng)關(guān)產(chǎn)品等信息安全管理層面構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全工程12.1.1信息安全管理體系概念信息安全管理(InformationSecurityManagement)的概念沒有統(tǒng)一的定義。信息安全管理：組織為了實(shí)現(xiàn)信息安全目標(biāo)和信息資產(chǎn)保護(hù)，用來(lái)指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的、一組相互協(xié)調(diào)的活動(dòng)。要實(shí)現(xiàn)組織中信息的安全性、高效性和動(dòng)態(tài)性管理，就需要依據(jù)信息安全管理模型和信息安全管理標(biāo)準(zhǔn)構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全管理體系(InformationSecurityManagementSystem,ISMS)組織以信息安全風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的系統(tǒng)化、程序化和文件化的管理體系，包括建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全等一系列的管理活動(dòng)。ISMS是整個(gè)管理體系的一部分。ISMS的建立是基于組織，立足于信息安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防為主的思想，并且是全過程和動(dòng)態(tài)控制。12.1信息安全管理體系12.1.1信息安全管理體系概念BS7799-2《信息安全管理體系規(guī)范》：詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求。BS7799-2的修訂版本BS7799-2:2002中引入了PDCA(Plan-Do-Check-Action)過程方法，用于建立、實(shí)施和持續(xù)改進(jìn)ISMS。PDCA循環(huán)又稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家EdwardsDeming博士在20世紀(jì)50年代提出，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。PDCA強(qiáng)調(diào)應(yīng)將業(yè)務(wù)過程看作連續(xù)的反饋循環(huán)，在反饋循環(huán)的過程中識(shí)別需要改進(jìn)的部分，以使過程得到持續(xù)的改進(jìn)，質(zhì)量得到螺旋式上升。12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型在每個(gè)階段的具體內(nèi)容如下：規(guī)劃Plan(建立ISMS)完成ISMS的構(gòu)建工作實(shí)施Do(實(shí)施和運(yùn)行ISMS)實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序檢查Check(監(jiān)視和評(píng)審ISMS)進(jìn)行有關(guān)方針、標(biāo)準(zhǔn)、法律法規(guī)與程序的符合性檢查處置Act(保持和改進(jìn)ISMS)對(duì)ISMS進(jìn)行評(píng)價(jià)，尋求改進(jìn)的機(jī)會(huì)，采取相應(yīng)的措施12.1信息安全管理體系12.1.2信息安全管理體系過程方法ISMS框架建立流程12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織的信息安全行為。對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)。在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織的生意伙伴和客戶對(duì)組織充滿信心。使組織定期地考慮新的威脅和脆弱點(diǎn)，并對(duì)系統(tǒng)進(jìn)行更新和控制。促使管理層堅(jiān)持貫徹信息安全保障體系。信息安全管理體系功能12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程BS7799BS7799是由英國(guó)BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下完成的，是當(dāng)前國(guó)際公認(rèn)的信息安全實(shí)施標(biāo)準(zhǔn)。旨在為一個(gè)組織提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效安全管理的通用要素，并不涉及“怎么做”的細(xì)節(jié)。是制定一個(gè)機(jī)構(gòu)自己標(biāo)準(zhǔn)的出發(fā)點(diǎn)，因此適用于各種產(chǎn)業(yè)和組織。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)BS7799演進(jìn)發(fā)展過程BS7799發(fā)展后分為兩部分ISO/IEC27001:2005

《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》主要討論了以PDCA過程方法建設(shè)ISMS以及ISMS評(píng)估的內(nèi)容。該標(biāo)準(zhǔn)詳細(xì)的說明了建立、實(shí)施、監(jiān)視和維護(hù)ISMS的具體任務(wù)和要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。ISO/IEC27002:2005

《信息技術(shù)-安全技術(shù)-信息安全控制實(shí)用規(guī)則》標(biāo)準(zhǔn)包含有11項(xiàng)管理內(nèi)容，133條安全控制措施。作為組織基于ISO/IEC27001實(shí)施ISMS的過程中選擇控制措施時(shí)的參考，或作為組織實(shí)施通用信息安全控制措施時(shí)的指南文件，或開發(fā)組織自身的信息安全管理指南。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)ISO/IEC27002:200512.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)ISO/IEC27002:2005安全管理體系COBITCOBIT是目前國(guó)際上通用的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)它在業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。COBIT共分為4個(gè)域，34個(gè)高級(jí)控制目標(biāo)和318個(gè)詳細(xì)控制目標(biāo)。12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)COBIT框架ISO/IEC13335是國(guó)際標(biāo)準(zhǔn)《IT安全管理指南》(GuidelinesfortheManagementofITSecurity,GMITS)ISO/IEC13335-1:1996《IT安全的概念與模型》（被ISO/IEC13335-1:2004《信息和通信技術(shù)安全管理的概念和模型》替代）ISO/IEC13335-2:1997《IT安全管理與規(guī)劃》ISO/IEC13335-3:1998《IT安全管理技術(shù)》ISO/IEC13335-4:2000《防護(hù)措施的選擇》ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》ISO/IEC1333512.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)GB17895-1999GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn)由我國(guó)公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局1999年發(fā)布，2001年1月1日起施行。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)被劃分為5個(gè)級(jí)別用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問驗(yàn)證保護(hù)級(jí)12.1信息安全管理體系12.1.4信息安全管理標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)劃分原則內(nèi)容提綱信息安全風(fēng)險(xiǎn)評(píng)估信息安全管理體系信息安全審計(jì)本章小結(jié)12.2

信息安全風(fēng)險(xiǎn)評(píng)估12.2.1信息安全風(fēng)險(xiǎn)評(píng)估概念12.2.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程12.2.4信息安全風(fēng)險(xiǎn)評(píng)估方法與工具風(fēng)險(xiǎn)(Risk)：一定條件下和一定時(shí)期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性。目前，信息安全風(fēng)險(xiǎn)沒有統(tǒng)一的定義澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn)AS/NZS4360信息安全風(fēng)險(xiǎn)指對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的可能性，可以用后果和可能性來(lái)衡量。ISO/IEC13335-1標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)是指某個(gè)給定的威脅利用單個(gè)或一組資產(chǎn)的脆弱點(diǎn)造成資產(chǎn)受損的潛在可能性。GB/T20984-2013《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》信息安全風(fēng)險(xiǎn)是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱點(diǎn)導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.1信息安全風(fēng)險(xiǎn)評(píng)估概念一般而言，信息安全風(fēng)險(xiǎn)可表現(xiàn)為威脅(Threats)、脆弱點(diǎn)(Vulnerabilities)和資產(chǎn)(Assert)之間的相互作用。風(fēng)險(xiǎn)會(huì)隨著任一因素的增加而增大，減少而減少GB/T20984-2013《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.1信息安全風(fēng)險(xiǎn)評(píng)估概念信息安全風(fēng)險(xiǎn)評(píng)估的意義如下：對(duì)信息安全保障體系建設(shè)具有重要的促進(jìn)作用，能有效幫助組織制定決策策略。沒有有效和及時(shí)的信息安全風(fēng)險(xiǎn)評(píng)估，將使得各個(gè)組織無(wú)法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。在綜合考慮成本和效益的前提下，通過安全措施來(lái)控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降至用戶可控范圍內(nèi)。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.1信息安全風(fēng)險(xiǎn)評(píng)估概念1993年，美國(guó)，加拿大同歐洲四國(guó)組成六國(guó)七方，共同制定了國(guó)際通用的評(píng)估準(zhǔn)則CC(CommonCriteria)目的是建立一個(gè)各國(guó)都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)價(jià)標(biāo)準(zhǔn)。在1996年頒布了CC1.0版，1998年頒布了CC2.0版1999年，ISO接納CC2.0版為ISO/IEC15408草案，并命名為信息技術(shù)-安全技術(shù)-IT安全性評(píng)估準(zhǔn)則，并于同年正式發(fā)布國(guó)際標(biāo)準(zhǔn)ISO/IEC15408CC2.1版12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素CC標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)主要有三部分構(gòu)成簡(jiǎn)介和一般模型安全功能要求安全保障要求信息安全風(fēng)險(xiǎn)構(gòu)成要素威脅、風(fēng)險(xiǎn)、脆弱點(diǎn)、資產(chǎn)、對(duì)策等關(guān)鍵風(fēng)險(xiǎn)要素提出了所有者和威脅主體的概念12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素CC標(biāo)準(zhǔn)中風(fēng)險(xiǎn)要素之間的關(guān)系ISO/IEC13335是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)。ISO/IEC13335-1以風(fēng)險(xiǎn)為中心，確定了資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)、防護(hù)措施為信息安全風(fēng)險(xiǎn)的要素，并描述了它們之間的關(guān)系。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素ISO13335標(biāo)準(zhǔn)ISO/IEC13335標(biāo)準(zhǔn)中風(fēng)險(xiǎn)要素之間的關(guān)系GB/T20984-2007標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱點(diǎn)和安全措施這些基本要素展開。在基本要素的評(píng)估過程中，充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素GB/T20984-2007標(biāo)準(zhǔn)GB/T20984-2007標(biāo)準(zhǔn)中風(fēng)險(xiǎn)評(píng)估各要素關(guān)系圖我國(guó)的GB/T20984-2007標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱點(diǎn)識(shí)別已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估文檔記錄12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估流程圖1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的對(duì)象與范圍組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)進(jìn)行系統(tǒng)調(diào)研確定評(píng)估依據(jù)和方法制定風(fēng)險(xiǎn)評(píng)估方案獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)以及無(wú)形資產(chǎn)等方面。資產(chǎn)賦值：對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估一般地，資產(chǎn)的價(jià)值可由資產(chǎn)在安全屬性上的達(dá)成程度或其他安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定，可分為對(duì)保密性、完整性、可用性三個(gè)方面的賦值。在此基礎(chǔ)上，經(jīng)過綜合評(píng)定得到資產(chǎn)重要性等級(jí)。加權(quán)平均原則、最大化原則等12.2信息安全風(fēng)險(xiǎn)評(píng)估2.資產(chǎn)識(shí)別12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程根據(jù)威脅來(lái)源，威脅可分為環(huán)境威脅和人為威脅。環(huán)境威脅：自然界不可抗力威脅和其它物理因素威脅人為威脅：惡意和非惡意威脅賦值對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。以往安全事件報(bào)告中出現(xiàn)過的威脅、威脅的頻率、破壞力的統(tǒng)計(jì)。實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)。近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅出頻率及其破壞力的統(tǒng)計(jì)。12.2信息安全風(fēng)險(xiǎn)評(píng)估3.威脅識(shí)別12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程技術(shù)和管理技術(shù)脆弱點(diǎn)：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等管理脆弱點(diǎn)：技術(shù)管理和組織管理脆弱點(diǎn)賦值一般是對(duì)脆弱點(diǎn)被利用后對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度進(jìn)行評(píng)估，然后以定性等級(jí)劃分形式，綜合給出脆弱點(diǎn)的嚴(yán)重程度。12.2信息安全風(fēng)險(xiǎn)評(píng)估4.脆弱點(diǎn)識(shí)別12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程預(yù)防性安全措施降低威脅利用脆弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性：減少威脅出現(xiàn)的頻率：培訓(xùn)、懲罰等減少脆弱點(diǎn)：打補(bǔ)丁、定期檢查等保護(hù)性安全措施減少因安全事件發(fā)生對(duì)信息系統(tǒng)造成的影響：業(yè)務(wù)持續(xù)性計(jì)劃。12.2信息安全風(fēng)險(xiǎn)評(píng)估5.已有安全措施的確認(rèn)12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程該階段主要完成風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)處理計(jì)劃、殘余風(fēng)險(xiǎn)評(píng)估三個(gè)方面的內(nèi)容。在風(fēng)險(xiǎn)計(jì)算方面，主要通過綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱點(diǎn)的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即得到安全風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)處理計(jì)劃方面，主要完成對(duì)不可接受的風(fēng)險(xiǎn)的處理工作。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。在殘余風(fēng)險(xiǎn)評(píng)估方面，主要用來(lái)評(píng)估在安全措施實(shí)施后，殘余風(fēng)險(xiǎn)是否降低到可以接受的水平。若仍然不滿足風(fēng)險(xiǎn)水平的要求，則需要進(jìn)一步調(diào)整風(fēng)險(xiǎn)處理計(jì)劃，增加相應(yīng)的安全措施。12.2信息安全風(fēng)險(xiǎn)評(píng)估6.風(fēng)險(xiǎn)分析12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程R：風(fēng)險(xiǎn)函數(shù)A：資產(chǎn)T：威脅V：脆弱點(diǎn)Ia：安全事件所作用的資產(chǎn)價(jià)值Va：脆弱點(diǎn)等級(jí)大小L：威脅利用資產(chǎn)的脆弱點(diǎn)而導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失風(fēng)險(xiǎn)值計(jì)算12.2信息安全風(fēng)險(xiǎn)評(píng)估6.風(fēng)險(xiǎn)分析12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程主要記錄在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔。風(fēng)險(xiǎn)評(píng)價(jià)計(jì)劃風(fēng)險(xiǎn)評(píng)估程序資產(chǎn)識(shí)別清單重要資產(chǎn)清單威脅列表脆弱點(diǎn)列表已有安全措施確認(rèn)表風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)評(píng)估記錄12.2信息安全風(fēng)險(xiǎn)評(píng)估7.風(fēng)險(xiǎn)評(píng)估文檔記錄12.2.3信息安全風(fēng)險(xiǎn)評(píng)估流程定性分析方法定性的評(píng)估分析方法是一種采用比較廣泛的模糊分析方法。主要依靠專家的知識(shí)和經(jīng)驗(yàn)、被評(píng)估對(duì)象的相關(guān)記錄以及相關(guān)走訪調(diào)查來(lái)對(duì)資源、威脅、脆弱點(diǎn)和現(xiàn)有的防范措施進(jìn)行系統(tǒng)評(píng)估。定性分析方法很多，包括小組討論（如Delphi方法）、調(diào)查、人員訪談、問卷和檢查列表等。典型的定性分析方法主觀評(píng)分法故障樹分析法12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.4信息安全風(fēng)險(xiǎn)評(píng)估方法和工具1.信息安全風(fēng)險(xiǎn)評(píng)估方法定量分析方法對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值，進(jìn)而來(lái)量化風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果。典型的定量分析方法決策樹法模糊綜合評(píng)價(jià)法層次分析法…12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.4信息安全風(fēng)險(xiǎn)評(píng)估方法和工具1.信息安全風(fēng)險(xiǎn)評(píng)估方法定性和定量結(jié)合的分析方法定性分析要求分析者具有一定的能力和經(jīng)驗(yàn)，且分析基于主觀性，其結(jié)果很難統(tǒng)一。定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，且分析基于客觀，其結(jié)果很直觀，容易理解。信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過程，涉及多個(gè)因素、多個(gè)層面，具有不確定性，它是一個(gè)多約束條件下的多屬性決策問題有些要素的量化很容易，而有些卻是很困難甚至是不可能的。如果單純的使用定性或定量的方法，對(duì)風(fēng)險(xiǎn)有效的評(píng)估則是很難的。12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.4信息安全風(fēng)險(xiǎn)評(píng)估方法和工具1.信息安全風(fēng)險(xiǎn)評(píng)估方法工具名稱COBRARACRAMM@RISKBDSS組織/國(guó)家C&A/BritainBSI/BritainCCTA/BritainPalisade/AmericaTheIntegratedRiskManagementGroup/America體系結(jié)構(gòu)C/S模式單機(jī)版單機(jī)版單機(jī)版單機(jī)版采用方法專家系統(tǒng)過程式算法過程式算法專家系統(tǒng)專家系統(tǒng)定性/定量算法定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合數(shù)據(jù)采集形式調(diào)查問卷過程過程調(diào)查問卷調(diào)查問卷對(duì)使用人員的要求不需要有風(fēng)險(xiǎn)評(píng)估的專業(yè)知識(shí)依靠評(píng)估人的知識(shí)和經(jīng)驗(yàn)依靠評(píng)估人的知識(shí)和經(jīng)驗(yàn)不需要有風(fēng)險(xiǎn)評(píng)估的專業(yè)知識(shí)不需要有風(fēng)險(xiǎn)評(píng)估的專業(yè)知識(shí)結(jié)果輸出形式結(jié)果報(bào)告：風(fēng)險(xiǎn)等級(jí)與控制措施風(fēng)險(xiǎn)等級(jí)與控制措施（基于BS7799提供的控制措施）風(fēng)險(xiǎn)等級(jí)與控制措施（基于BS7799提供的控制措施）決策支持信息安全防護(hù)措施列表12.2信息安全風(fēng)險(xiǎn)評(píng)估12.2.4信息安全風(fēng)險(xiǎn)評(píng)估方法和工具2.信息安全風(fēng)險(xiǎn)評(píng)估工具常見的自動(dòng)化評(píng)估工具的比較內(nèi)容提綱信息安全審計(jì)信息安全管理體系信息安全風(fēng)險(xiǎn)評(píng)估本章小結(jié)審計(jì)（Audit）Audit審計(jì),查賬aninspectionoftheaccountingproceduresandrecordsbyatrainedaccountantorCPA審計(jì)審計(jì)是對(duì)資料作出證據(jù)搜集及分析，以評(píng)估企業(yè)財(cái)務(wù)狀況，然后就資料及一般公認(rèn)準(zhǔn)則之間的相關(guān)程度作出結(jié)論及報(bào)告。進(jìn)行審計(jì)的人員必需有獨(dú)立性及具相關(guān)專業(yè)知識(shí)。12.3信息安全審計(jì)信息安全審計(jì)信息安全審計(jì)/IT審計(jì)/信息系統(tǒng)安全審計(jì)審計(jì)應(yīng)該是獨(dú)立的，審計(jì)與信息安全的目標(biāo)是一致的，而不是對(duì)立的。信息安全與信息安全審計(jì)信息安全其中一項(xiàng)必不可少的內(nèi)容是IT審計(jì)IT審計(jì)主要針對(duì)的是信息安全，也包含其他內(nèi)容信息安全與IT審計(jì)有很大的重合點(diǎn)要做好IT審計(jì)必須了解信息安全12.3信息安全審計(jì)信息安全審計(jì)師信息安全審計(jì)師，英文為CertifiedInformationSecurityProfessional-Auditor（簡(jiǎn)稱CISP-Auditor），CISP-Auditor是中國(guó)信息安全測(cè)評(píng)中心在CISP現(xiàn)有人員資格認(rèn)證注冊(cè)工作的基礎(chǔ)上，于2012年推出的又一項(xiàng)信息安全專業(yè)人員資格認(rèn)證項(xiàng)目，是CISP家族的新成員，是國(guó)家對(duì)信息安全審計(jì)人員資質(zhì)的最高認(rèn)可。要求：博士研究生；碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。知識(shí)體系結(jié)構(gòu)共包括：信息安全保障、信息安全標(biāo)準(zhǔn)與法律法規(guī)、信息安全技術(shù)、信息安全管理、信息安全工程、信息安全審計(jì)概述、信息安全審計(jì)組織和實(shí)施、信息安全控制措施審計(jì)實(shí)務(wù)這八個(gè)知識(shí)類。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案2002年頒布的Sarbanes-Oxley法案的一些強(qiáng)制要求。此法案要求上市公司的工作人員個(gè)人不僅對(duì)公司的財(cái)務(wù)報(bào)表負(fù)責(zé)，而且還需要負(fù)責(zé)設(shè)置恰當(dāng)?shù)目刂拼胧源_保報(bào)表的準(zhǔn)確性。如果沒有遵守這些規(guī)定，則需要負(fù)刑事責(zé)任，并會(huì)向公眾公開以示懲罰。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案盡管此法案不包含關(guān)于IT、計(jì)算機(jī)或技術(shù)方面的內(nèi)容，但是審計(jì)事務(wù)所還是已經(jīng)將IT組織包括在其調(diào)查的范圍之內(nèi)。這些事務(wù)所認(rèn)為，SOX不僅包括對(duì)財(cái)務(wù)進(jìn)行恰當(dāng)?shù)目刂疲欢疫€包括如何保護(hù)股東資產(chǎn)。這些資產(chǎn)容易受到操作問題的影響，其中包括IT風(fēng)險(xiǎn)，如系統(tǒng)災(zāi)難、違犯安全，等等。12.3信息安全審計(jì)SOX(Sarbanes-Oxley)法案公司高級(jí)管理人員被判定行為不當(dāng)?shù)哪承┳畛裘恐陌咐ㄖ甘笽T人員涉嫌操縱數(shù)據(jù)、修改程序和忽略基本系統(tǒng)控制，以便為財(cái)務(wù)報(bào)表和審計(jì)提供不正確的數(shù)據(jù)。因此，是美國(guó)上市公司審