ISMS-4-信息安全風(fēng)險(xiǎn)評(píng)估與管理

信息安全風(fēng)險(xiǎn)評(píng)估與管理PKSEC北京知識(shí)安全工程中心1精選2021版課件1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法

課程內(nèi)容2精選2021版課件1概念解析與過程相關(guān)的概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處理資產(chǎn)威脅脆弱性防護(hù)措施與要素相關(guān)的概念3精選2021版課件風(fēng)險(xiǎn)是什么？中國(guó)有句古話：“天有不測(cè)風(fēng)云，人有旦夕禍福”1.1風(fēng)險(xiǎn)4精選2021版課件關(guān)于風(fēng)險(xiǎn)幾個(gè)描述中石油吉化公司雙苯廠發(fā)生爆炸，污染松花江水質(zhì)，給下游城市帶來嚴(yán)重的水危機(jī)

目前環(huán)境下投資股票比投資國(guó)債風(fēng)險(xiǎn)要大人身意外傷害保險(xiǎn)頻繁的黑客活動(dòng)給網(wǎng)上銀行帶來很大的風(fēng)險(xiǎn)內(nèi)部人員的誤操作和惡意侵害是銀行最大信息不安全1.1風(fēng)險(xiǎn)不利事件不利事件發(fā)生的條件不利事件發(fā)生的可能性不利事件的影響5精選2021版課件風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)金山詞霸2005：美國(guó)傳統(tǒng)詞典

Thepossibilityofsufferingharmorloss;danger.

遭受損害或損失的可能性；危險(xiǎn)6精選2021版課件風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)辭海：上海辭書出版社，1989年風(fēng)險(xiǎn)：是指人們?cè)谏a(chǎn)建設(shè)和日常生活中遭遇可能導(dǎo)致人身傷亡、財(cái)產(chǎn)受損及其它經(jīng)濟(jì)損失的自然災(zāi)害、意外事故和其它不測(cè)事件的可能性。7精選2021版課件AS/NZS4360：澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn)：風(fēng)險(xiǎn)：對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機(jī)會(huì)。它可以用后果和可能性來衡量。Risk:thechanceofsomethinghappeningthatwillhaveonimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.

1.1風(fēng)險(xiǎn)8精選2021版課件風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)ISOGuide73：2002

（RiskManagement–Vocabulary–

Guidelinesforuseinstandards）

risk：combinationoftheprobabilityofaneventanditsconsequence

事件的可能性及其后果的組合。

注1：通常，只有至少存在產(chǎn)生不利結(jié)果可能性的情況下才使用“風(fēng)險(xiǎn)”術(shù)語。注2：在某些情況下，風(fēng)險(xiǎn)是由偏離期望的結(jié)果或事件的可能性引起的。9精選2021版課件ISO/IECTR13335-1:1996

安全風(fēng)險(xiǎn)：是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.

1.1風(fēng)險(xiǎn)10精選2021版課件后果 Consequence

以定性或定量方式表示的一個(gè)事件的結(jié)果，可以是損害、傷害、失利或獲利?？赡苄訪ikelihood

用作對(duì)幾率或頻率的定性描述。幾率Probability

以事件或結(jié)果與可能發(fā)生事件或結(jié)果的總數(shù)之比來度量事件或結(jié)果的可能性。用數(shù)字0或者1來表達(dá)。頻率Frequency

以規(guī)定時(shí)間內(nèi)所發(fā)生的次數(shù)來表達(dá)的事件發(fā)生率的度量。與風(fēng)險(xiǎn)有關(guān)的名詞：

1.1風(fēng)險(xiǎn)11精選2021版課件風(fēng)險(xiǎn)（risk）風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：（1）一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率；（2）上述事件發(fā)生之后所帶來的影響。1.1風(fēng)險(xiǎn)12精選2021版課件風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理ISOGuide73：2002

（RiskManagement–Vocabulary–

Guidelinesforuseinstandards）

riskmanagement：coordinatedactivitiestodirectandcontrolanorganizationwithregardtorisk.

在風(fēng)險(xiǎn)方面指揮和控制組織的協(xié)同活動(dòng)。

注：風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和溝通。

13精選2021版課件風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理Wikipedia

維基百科

－自由、開發(fā)的百科全書風(fēng)險(xiǎn)管理又名危機(jī)管理，是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。當(dāng)中包括了對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過程，使當(dāng)中的可以引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則壓后處理。理想的風(fēng)險(xiǎn)管理，正希望能夠花最少的資源去盡可能化解最大的危機(jī)。

14精選2021版課件風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理PeterL.Bernstein,《與上帝做對(duì)：風(fēng)險(xiǎn)的非凡經(jīng)歷》,1996年

“一個(gè)具有革命意義的看法是，對(duì)風(fēng)險(xiǎn)的掌握程度是劃分現(xiàn)代和過去時(shí)代的分水嶺：所謂對(duì)風(fēng)險(xiǎn)的掌握就是說未來不再更多地依賴上帝的安排，人類在自然面前不再是被動(dòng)的。在人們發(fā)現(xiàn)跨越這個(gè)分水嶺的道路之前，未來只是過去的鏡子，或者是屬于那些壟斷了對(duì)未來事件進(jìn)行預(yù)測(cè)的圣賢和占撲者的黑暗領(lǐng)地?！?/p>

“風(fēng)險(xiǎn)管理有助于我們?cè)诜浅V闊的領(lǐng)域里進(jìn)行決策，從分配財(cái)富到保護(hù)公共健康，從戰(zhàn)爭(zhēng)到家庭計(jì)劃安排，從支付保費(fèi)到系安全帶，從種植玉米到玉米片的市場(chǎng)營(yíng)銷?！?5精選2021版課件風(fēng)險(xiǎn)管理的歷史1.2風(fēng)險(xiǎn)管理1930年代，源于美國(guó)，受當(dāng)時(shí)經(jīng)濟(jì)危機(jī)影響，美國(guó)40％的銀行和企業(yè)破產(chǎn)，促使他們?cè)O(shè)立保險(xiǎn)管理部門，應(yīng)對(duì)危機(jī)。1950年代風(fēng)險(xiǎn)管理發(fā)展成為一門學(xué)科，風(fēng)險(xiǎn)管理一詞才形成。1970年代以后逐漸掀起了全球性的風(fēng)險(xiǎn)管理運(yùn)動(dòng)，法國(guó)、日本相繼學(xué)習(xí)美國(guó)開始了風(fēng)險(xiǎn)管理研究。1983年在美國(guó)召開的風(fēng)險(xiǎn)和保險(xiǎn)管理協(xié)會(huì)年會(huì)上，世界各國(guó)專家學(xué)者云集紐約，共同討論并通過了“101條風(fēng)險(xiǎn)管理準(zhǔn)則”，它標(biāo)志著風(fēng)險(xiǎn)管理的發(fā)展已進(jìn)入了一個(gè)新的發(fā)展階段。1986年，由歐洲11個(gè)國(guó)家共同成立的“歐洲風(fēng)險(xiǎn)研究會(huì)”將風(fēng)險(xiǎn)研究擴(kuò)大到國(guó)際交流范圍。1986年10月，風(fēng)險(xiǎn)管理國(guó)際學(xué)術(shù)討論會(huì)在新加坡召開，風(fēng)險(xiǎn)管理已經(jīng)由環(huán)大西洋地區(qū)向亞洲太平洋地區(qū)發(fā)展。中國(guó)對(duì)于風(fēng)險(xiǎn)管理的研究開始于1980年代。中國(guó)大部分企業(yè)缺乏對(duì)風(fēng)險(xiǎn)管理的認(rèn)識(shí)，也沒有建立專門的風(fēng)險(xiǎn)管理機(jī)構(gòu)。作為一門學(xué)科，風(fēng)險(xiǎn)管理學(xué)在中國(guó)仍處于起步階段。16精選2021版課件風(fēng)險(xiǎn)管理(Riskmanagement)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。1.2風(fēng)險(xiǎn)管理17精選2021版課件對(duì)風(fēng)險(xiǎn)管理的過程而言，不同的方法或工具提供了不同的步驟，但是信息安全風(fēng)險(xiǎn)管理可操作的相關(guān)過程和活動(dòng)一般都要包括：確定評(píng)估范圍識(shí)別評(píng)估控制措施識(shí)別評(píng)估資產(chǎn)識(shí)別評(píng)估威脅選擇安全措施識(shí)別評(píng)估脆弱性確定風(fēng)險(xiǎn)處理策略風(fēng)險(xiǎn)評(píng)價(jià)制定安全計(jì)劃實(shí)施安全計(jì)劃風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)處理1.2風(fēng)險(xiǎn)管理18精選2021版課件1.2.1風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估(riskassessment)

風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，是組織確定信息安全要求的途徑之一，屬于組織信息安全管理體系策劃的過程。通過風(fēng)險(xiǎn)評(píng)估識(shí)別組織所面臨的安全風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)控制的優(yōu)先等級(jí)，從而對(duì)其實(shí)施有效控制，將風(fēng)險(xiǎn)控制在組織可以接受的范圍之內(nèi)。19精選2021版課件1.2.1風(fēng)險(xiǎn)評(píng)估（續(xù)）區(qū)分風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是把整個(gè)組織內(nèi)的風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過程。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的周期，通常以一定的間隔重新開始，來更新流程中各個(gè)階段的數(shù)據(jù)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過程。風(fēng)險(xiǎn)評(píng)估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的過程，是風(fēng)險(xiǎn)管理流程中最必須，最謹(jǐn)慎的一個(gè)過程。當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等，組織都可能會(huì)啟動(dòng)風(fēng)險(xiǎn)評(píng)估。20精選2021版課件1.2.2風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析(riskanalysis)

風(fēng)險(xiǎn)分析是標(biāo)識(shí)安全風(fēng)險(xiǎn)，確定其大小和標(biāo)識(shí)需要保護(hù)措施的區(qū)域的過程，其目的是分離可接受的小風(fēng)險(xiǎn)和不能接受的大風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處理提供數(shù)據(jù)。21精選2021版課件1.2.2風(fēng)險(xiǎn)分析（續(xù)）就風(fēng)險(xiǎn)分析的方法而言，目前應(yīng)用中沒有所謂的正確或錯(cuò)誤的方法。一個(gè)組織選擇一個(gè)自己感覺順手，可以信任，且能產(chǎn)生可比較、可再現(xiàn)性的結(jié)果才是最重要的。盡管評(píng)估風(fēng)險(xiǎn)的方法有很多，但是大多數(shù)方法都是基于兩種方法或兩種方法的組合：定性的分析方法和定量的分析方法。22精選2021版課件1.2.2風(fēng)險(xiǎn)分析（續(xù)）定性分析方法定性分析方法是最廣泛使用的風(fēng)險(xiǎn)分析方法。主要采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性。該方法通常只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率。23精選2021版課件1.2.2風(fēng)險(xiǎn)分析（續(xù)）定量分析方法定量分析方法在后果和可能性分析中采用數(shù)值（不是定性分行中所使用的敘述性數(shù)值范圍），并采用從各種各樣的來源中得到的數(shù)據(jù)。定量分析步驟主要集中在現(xiàn)場(chǎng)調(diào)查階段，針對(duì)系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行定量的調(diào)查、分析，為后續(xù)評(píng)估工作提供參考依據(jù)。24精選2021版課件1.2.2風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)(riskevaluation)

是把前些步驟識(shí)別分析出來的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)判據(jù)進(jìn)行比較，以判斷特定的風(fēng)險(xiǎn)是否可接受或需采取其它措施處置。風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果為具有不同等級(jí)的風(fēng)險(xiǎn)列表。25精選2021版課件1.2.2風(fēng)險(xiǎn)評(píng)價(jià)（續(xù)）目前在風(fēng)險(xiǎn)評(píng)價(jià)的方法上，國(guó)際上一直還在不斷的研究中，也有相當(dāng)多的定量或者定性的風(fēng)險(xiǎn)計(jì)算方法被提出，但是由于安全風(fēng)險(xiǎn)要素的各個(gè)環(huán)節(jié)存在太多的不確定因素和無法定量的特性，因此并沒有被公認(rèn)接受的風(fēng)險(xiǎn)評(píng)價(jià)方法。26精選2021版課件1.2.3風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理(riskmitigation)風(fēng)險(xiǎn)處理是風(fēng)險(xiǎn)管理的第二個(gè)過程。它包括對(duì)風(fēng)險(xiǎn)評(píng)估過程中建議的安全控制進(jìn)行優(yōu)先級(jí)排序、評(píng)估和實(shí)現(xiàn)。27精選2021版課件1.2.3風(fēng)險(xiǎn)處理（續(xù)）風(fēng)險(xiǎn)評(píng)估只為組織的信息安全活動(dòng)提供一個(gè)方向，并沒有必要導(dǎo)致重大的信息安全改進(jìn)。不管評(píng)估方法有多專業(yè)和多詳細(xì)，都不能改進(jìn)組織的安全狀態(tài)，除非組織通過實(shí)現(xiàn)評(píng)估結(jié)果將改進(jìn)活動(dòng)堅(jiān)持到底。所以評(píng)估結(jié)束后，組織必須開發(fā)詳細(xì)的行動(dòng)計(jì)劃，計(jì)劃如何根據(jù)評(píng)估實(shí)現(xiàn)保護(hù)策略和風(fēng)險(xiǎn)處理計(jì)劃。28精選2021版課件1.2.3風(fēng)險(xiǎn)處理（續(xù)）風(fēng)險(xiǎn)處理是一種系統(tǒng)化方法，高級(jí)管理人員可用它來降低使命風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理可以通過下列措施實(shí)現(xiàn)：風(fēng)險(xiǎn)承受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，或?qū)崿F(xiàn)安全防護(hù)措施，以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。風(fēng)險(xiǎn)規(guī)避：通過消除風(fēng)險(xiǎn)的原因和/或后果（如在識(shí)別出風(fēng)險(xiǎn)后放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險(xiǎn)。風(fēng)險(xiǎn)轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)。29精選2021版課件其關(guān)系可以簡(jiǎn)明表示如下：風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析30精選2021版課件1.3資產(chǎn)資產(chǎn)(asset)

所謂資產(chǎn)就是被組織賦予了價(jià)值，組織需要保護(hù)的有用資源。ISO13335-1定義資產(chǎn)為所有對(duì)組織有用的東西。為了對(duì)資產(chǎn)進(jìn)行有效的保護(hù)，組織需要在各個(gè)管理層對(duì)資產(chǎn)落實(shí)責(zé)任，進(jìn)行適當(dāng)?shù)墓芾怼?1精選2021版課件1.3資產(chǎn)（續(xù)）

以下是資產(chǎn)示例及分類：信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作與維護(hù)程序、知識(shí)產(chǎn)權(quán)、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排等。書面文件：合同、公司文件、人事記錄、財(cái)務(wù)記錄、采購文件、發(fā)票等。軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序等。32精選2021版課件1.3資產(chǎn)（續(xù)）物理資產(chǎn)：計(jì)算機(jī)、服務(wù)器、路由器、集線器、防火墻、通訊設(shè)備、其它技術(shù)設(shè)備（供電設(shè)備、空調(diào)設(shè)備）、家具、辦公場(chǎng)所等。人員：?jiǎn)T工、客戶、合同工、警衛(wèi)。服務(wù)：計(jì)算和通訊服務(wù)及其它技術(shù)服務(wù)（供暖、照明、電力、空調(diào)）等。公司形象和聲譽(yù)：如正面和負(fù)面的宣傳、品牌附加值等。33精選2021版課件威脅(threat)

威脅是一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。ISO17799將威脅定義為對(duì)組織造成潛在影響的原因。NISTSP800-30將威脅定義為可能對(duì)系統(tǒng)造成損害的事件或?qū)嶓w。1.4威脅34精選2021版課件1.4威脅（續(xù)）威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。35精選2021版課件1.4威脅（續(xù)）以下幾種都是常見的威脅：對(duì)信息、信息系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的非授權(quán)訪問這些一般都是有意圖、有目的的行為，會(huì)對(duì)信息的保密性、完整性和可用性造成損害，損害的程度決定于非授權(quán)用戶的目的和擁有的權(quán)限。信息的非授權(quán)修改這是一種有預(yù)謀的威脅，可能會(huì)損害資產(chǎn)的保密性與可用性。36精選2021版課件1.4威脅（續(xù)）惡意軟件惡意軟件的引入可以是有意的（具有一定的目的和企圖）和無意的（運(yùn)行了來歷不明的軟件），惡意軟件威脅資產(chǎn)的保密性、完整性和可用性。軟件失效由于有預(yù)謀的事件或意外事件發(fā)生，從而導(dǎo)致軟件的完整性與可用性的損失。37精選2021版課件1.4威脅（續(xù)）火災(zāi)這是一種意外事故，也可能是一種有預(yù)謀的事件，會(huì)影響資產(chǎn)的完整性與可用性。偷竊這是一種有預(yù)謀的威脅，可能會(huì)損害資產(chǎn)的保密性與可用性。人員錯(cuò)誤可能是有意的或無意的行為，有時(shí)此類事件的發(fā)生僅僅是員工缺乏安全意識(shí)，并不是有什么惡意企圖。38精選2021版課件1.5脆弱性脆弱性(Vulnerability)脆弱性是信息資產(chǎn)及其防護(hù)措施在安全方面的不足和弱點(diǎn)。脆弱性也常常被稱為漏洞。NISTSP800-30將漏洞定義為安全程序、技術(shù)控制措施、物理控制措施或其他控制措施中可能被威脅利用的條件或弱點(diǎn)，或缺乏控制措施。39精選2021版課件1.5脆弱性（續(xù)）經(jīng)驗(yàn)表明：大多數(shù)重大的漏洞通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)漏洞。40精選2021版課件1.5脆弱性（續(xù)）以下都是常見的脆弱性：缺乏物理保護(hù)或保護(hù)不適當(dāng)可能被威脅利用，損害資產(chǎn)的保密性、完整性和可用性口令選擇或使用不當(dāng)可能導(dǎo)致對(duì)系統(tǒng)信息的非授權(quán)訪問，從而損害資產(chǎn)的保密性、完整性和可用性。41精選2021版課件1.5脆弱性（續(xù)）與外部網(wǎng)絡(luò)的連接沒有保護(hù)能導(dǎo)致在聯(lián)網(wǎng)系統(tǒng)中存儲(chǔ)與處理信息的保密性、完整性和可用性的損害。沒有保護(hù)的存檔文件有可能被偷竊，從而損害資產(chǎn)的保密性、完整性和可用性。不足夠的安全培訓(xùn)可能造成用戶缺乏足夠的安全意識(shí)，破壞信息的保密性，或者產(chǎn)生用戶錯(cuò)誤，從而造成對(duì)資產(chǎn)的完整性和可用性的損害。42精選2021版課件1.6防護(hù)措施防護(hù)措施(safeguard)

防護(hù)措施是對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。防護(hù)措施本質(zhì)上都是減少脆弱性的。43精選2021版課件1.7信息安全風(fēng)險(xiǎn)要素資產(chǎn)asset威脅threat

脆弱性vulnerability

影響impact

防護(hù)措施safeguards殘余風(fēng)險(xiǎn)residualrisk44精選2021版課件殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)residualrisk

在已實(shí)現(xiàn)防護(hù)措施之后遺留的風(fēng)險(xiǎn)風(fēng)險(xiǎn)通常只能通過防護(hù)措施部分減輕組織應(yīng)判斷是否可以接受殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)越小，意味防護(hù)成本就越高45精選2021版課件1.8概念解析-與要素相關(guān)概念小結(jié)46精選2021版課件1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法

47精選2021版課件2信息安全風(fēng)險(xiǎn)管理的一般過程2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程2.2信息安全風(fēng)險(xiǎn)處理的過程48精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)●硬件●軟件●系統(tǒng)接口●數(shù)據(jù)和信息●人員●系統(tǒng)使命步驟1：體系特征描述●系統(tǒng)邊界●系統(tǒng)功能●系統(tǒng)和數(shù)據(jù)的關(guān)鍵性●系統(tǒng)和數(shù)據(jù)的敏感性●系統(tǒng)遭受攻擊的歷史●來自信息咨詢機(jī)構(gòu)、大眾媒體的數(shù)據(jù)●以前的風(fēng)險(xiǎn)評(píng)報(bào)告●安全檢查工作中提出的意見●安全要求●安全測(cè)試結(jié)果●當(dāng)前的以及規(guī)劃中的安全措施●威脅的屬性（威脅源、動(dòng)機(jī)、能力等）●脆弱性的性質(zhì)●當(dāng)前的以及規(guī)劃中的安全措施●分析對(duì)使命的影響●評(píng)估資產(chǎn)的關(guān)鍵性●數(shù)據(jù)關(guān)鍵性●數(shù)據(jù)敏感性●威脅聲明●可能的脆弱性列表●當(dāng)前的以及規(guī)劃中的安全措施●可能性級(jí)別●影響級(jí)別步驟2：識(shí)別威脅步驟3：識(shí)別脆弱性步驟4：分析安全措施步驟5：確定可能性步驟6：分析影響完整性損失可用性損失保密性損失步驟7：確定風(fēng)險(xiǎn)●威脅破壞的可能性●影響的程度●當(dāng)前的以及規(guī)劃中的安全措施的足夠性●風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)的級(jí)別步驟8：建議安全措施步驟9：記錄結(jié)果●建議的安全措施●風(fēng)險(xiǎn)評(píng)估報(bào)告49精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))

步驟1：描述系統(tǒng)特征在對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行評(píng)估中，第一步是定義工作范圍。在該步中，要確定信息系統(tǒng)的邊界以及組成系統(tǒng)的資源和信息。對(duì)信息系統(tǒng)的特征進(jìn)行描述后便確立了風(fēng)險(xiǎn)評(píng)估工作的范圍，刻畫了對(duì)系統(tǒng)進(jìn)行授權(quán)運(yùn)行（或認(rèn)可）的邊界，并為風(fēng)險(xiǎn)定義提供了必要的信息（如硬件、軟件、系統(tǒng)連通性、負(fù)責(zé)部門或支持人員）。50精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟1.1系統(tǒng)相關(guān)信息步驟1.2信息收集技術(shù)可以使用下列一項(xiàng)或多項(xiàng)技術(shù)在其運(yùn)行邊界內(nèi)獲取相關(guān)的系統(tǒng)信息：調(diào)查問卷現(xiàn)場(chǎng)面談文檔審查使用自動(dòng)掃描工具51精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟2：識(shí)別威脅如果沒有脆弱性，威脅源無法造成風(fēng)險(xiǎn)；在確定威脅的可能性時(shí)，應(yīng)該考慮威脅源、潛在的脆弱性和現(xiàn)有的安全防護(hù)措施。步驟2.1識(shí)別威脅源步驟2.2動(dòng)機(jī)和行為52精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟3：識(shí)別脆弱性本步的目標(biāo)是制定系統(tǒng)中可能會(huì)被威脅源利用的脆弱性（缺陷或薄弱環(huán)節(jié)）的列表。步驟3.1脆弱性源步驟3.2系統(tǒng)安全測(cè)試53精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟4：分析安全控制本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析——單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率）。步驟4.1安全防護(hù)措施步驟4.2安全防護(hù)措施的分析技術(shù)54精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟5：分析可能性本步要說明一個(gè)潛在的脆弱性在相關(guān)威脅環(huán)境下被攻擊的可能性，下列支配因素應(yīng)該在本步中考慮：威脅源的動(dòng)機(jī)和能力。脆弱性的性質(zhì)。安全防護(hù)措施的有效性。55精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))一個(gè)潛在的脆弱性被一個(gè)給定威脅源攻擊的可能性可以用高、中、低來表示。下表描述了這三個(gè)可能性級(jí)別?？赡苄约?jí)別可能性描述高威脅源具有強(qiáng)烈的動(dòng)機(jī)和足夠的能力，防止脆弱性被利用的防護(hù)措施是無效的。中威脅源具有一定的動(dòng)機(jī)和能力，但是已經(jīng)部署的安全防護(hù)措施可以阻止對(duì)脆弱性的成功利用。低威脅源缺少動(dòng)機(jī)和能力，或者已經(jīng)部署的安全防護(hù)措施能夠防止——至少能大大地阻止對(duì)脆弱性的利用。56精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟6：分析影響度量風(fēng)險(xiǎn)級(jí)別的下一主要步驟便是確定對(duì)脆弱性的一次成功攻擊所產(chǎn)生的負(fù)面影響。對(duì)安全事件的負(fù)面影響可以用完整性、可用性和保密性三個(gè)安全屬性的損失或降低來描述。57精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))可以通過定性手段進(jìn)行度量，例如用高、中、低影響等術(shù)語來描述。影響級(jí)別影響定義高對(duì)脆弱性的利用（1）可能導(dǎo)致有形資產(chǎn)或資源的高成本損失；（2）可能嚴(yán)重違犯、危害或阻礙單位的使命、聲譽(yù)或利益；或者（3）可能導(dǎo)致人員死亡或嚴(yán)重傷害。中對(duì)脆弱性的利用（1）可能導(dǎo)致有形資產(chǎn)或資源的損失；（2）可能違犯、危害或阻礙單位的使命、聲譽(yù)或利益；或者（3）可能導(dǎo)致人員傷害。低對(duì)脆弱性的利用（1）可能導(dǎo)致某些有形資產(chǎn)或資源的損失；或者（2）可能對(duì)單位的使命、聲譽(yù)或利益造成值得注意的影響。58精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟7：確定風(fēng)險(xiǎn)確定一個(gè)特定的威脅/脆弱性對(duì)帶來的風(fēng)險(xiǎn)時(shí)，可以將其表示為以下參數(shù)構(gòu)成的函數(shù)：給定的威脅源試圖攻擊一個(gè)給定的系統(tǒng)脆弱性的可能性；一個(gè)威脅源成功攻擊了這個(gè)系統(tǒng)的脆弱性后所造成的影響的程度；規(guī)劃中或現(xiàn)有的安全防護(hù)措施對(duì)于降低或消除風(fēng)險(xiǎn)的充分性。59精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟7.1風(fēng)險(xiǎn)級(jí)別矩陣將威脅的可能性（例如概率）及威脅影響的級(jí)別相乘后便得出了最終的使命風(fēng)險(xiǎn)。下面是一個(gè)關(guān)于威脅的可能性（高、中、低）和威脅影響（高、中、低）的3×3矩陣。根據(jù)現(xiàn)場(chǎng)要求和風(fēng)險(xiǎn)評(píng)估要求的粒度，有些情況下也可能使用4×4或5×5的矩陣。60精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))下表的矩陣范例描述了高、中或低的總體風(fēng)險(xiǎn)級(jí)別是如何得出的。這種風(fēng)險(xiǎn)級(jí)別或等級(jí)的確定可能是主觀性的。這種判斷的基本原理可以用每個(gè)可能性級(jí)別上分配的概率值和每個(gè)影響級(jí)別上分配的影響值來解釋。例如：賦給每個(gè)威脅可能性級(jí)上的概率為1.0時(shí)表示高，0.5表示中，0.1表示低；賦給每個(gè)影響級(jí)上的值為100時(shí)表示高，50表示中，10表示低。61精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))威脅可能性影響低（10）中（50）高（100）高（1.0）低10×1.0=10中50×1.0=50高100×1.0=100中（0.5）低10×0.5=5中50×0.5=25中100×0.5=50低（0.1）低10×0.1=1低50×0.1=5低100×0.1=10風(fēng)險(xiǎn)尺度：高（50～100）；中（10～50）；低（1～10）62精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟7.2風(fēng)險(xiǎn)級(jí)別描述下表描述了上述矩陣中的風(fēng)險(xiǎn)級(jí)別。這種表示為高、中、低的風(fēng)險(xiǎn)尺度代表了如果給定的脆弱性被利用來攻擊時(shí)，信息系統(tǒng)、設(shè)施或流程可能暴露出的風(fēng)險(xiǎn)程度或級(jí)別。風(fēng)險(xiǎn)尺度也表示了高級(jí)管理人員和系統(tǒng)擁有者對(duì)每種風(fēng)險(xiǎn)級(jí)別必須采取的行動(dòng)。63精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)描述和必要行動(dòng)高如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部署針對(duì)性計(jì)劃。中如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來實(shí)施這些行動(dòng)。低如果被評(píng)估為低風(fēng)險(xiǎn)，那么單位的管理層就必須確定是否還需要采取糾正行動(dòng)或者是否接受風(fēng)險(xiǎn)。64精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟8：建議安全防護(hù)措施在這一步里，將針對(duì)單位的運(yùn)行提出可用來控制已識(shí)別出的風(fēng)險(xiǎn)的安全防護(hù)措施。65精選2021版課件2.1信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù))步驟9：記錄評(píng)估結(jié)果

一旦風(fēng)險(xiǎn)評(píng)估全部結(jié)束（威脅源和系統(tǒng)脆弱性已經(jīng)被識(shí)別出來，風(fēng)險(xiǎn)也得到了評(píng)估，安全防護(hù)措施建議也已經(jīng)提出），該過程的結(jié)果應(yīng)該被記錄到正式的報(bào)告或簡(jiǎn)報(bào)里。風(fēng)險(xiǎn)評(píng)估過程結(jié)束！66精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程來自風(fēng)險(xiǎn)評(píng)估報(bào)告的風(fēng)險(xiǎn)級(jí)別由高到底的行動(dòng)優(yōu)先級(jí)風(fēng)險(xiǎn)評(píng)估報(bào)告可能的控制清單成本效益分析所選擇的安全防護(hù)措施責(zé)任人員清單步驟2：評(píng)估所建議的安全選項(xiàng)可用性有效性步驟3：實(shí)施成本效益分析步驟4：選擇安全防護(hù)措施步驟5：分配責(zé)任步驟6：制定安全措施的實(shí)現(xiàn)計(jì)劃風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)的級(jí)別優(yōu)先級(jí)排序后的行動(dòng)所建議的安全防護(hù)措施所選擇的預(yù)期安全措施責(zé)任人員開始日期目標(biāo)完成日期維護(hù)要求安全措施實(shí)現(xiàn)計(jì)劃步驟7：實(shí)現(xiàn)所選擇的安全措施殘余風(fēng)險(xiǎn)步驟1：對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序67精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟1:對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，對(duì)風(fēng)險(xiǎn)處理的實(shí)現(xiàn)行動(dòng)進(jìn)行優(yōu)先級(jí)排序。在分配資源時(shí)，標(biāo)有不可接受的高等級(jí)（例如被定義為“非常高”或“高”風(fēng)險(xiǎn)級(jí)的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)應(yīng)該最優(yōu)先。這些脆弱性/威脅對(duì)需要采取立即糾正行動(dòng)以保護(hù)單位的利益和使命。68精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟2:評(píng)估所建議的安全選項(xiàng)風(fēng)險(xiǎn)評(píng)估過程中建議的安全防護(hù)措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合和最可行的。在這一步中，要對(duì)所建議的安全防護(hù)措施的可行性（如兼容性、用戶接受程度）和有效性（如保護(hù)程度和風(fēng)險(xiǎn)控制的級(jí)別）進(jìn)行分析。目的是選擇出最適當(dāng)?shù)陌踩雷o(hù)措施，使風(fēng)險(xiǎn)降至最低。69精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟3:實(shí)施成本效益分析為了幫助管理層做出決策并找出成本有效性最好的安全控制，要實(shí)施成本效益分析。70精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟4:選擇安全防護(hù)措施在成本效益分析的基礎(chǔ)上，管理人員應(yīng)確定成本有效性最好的安全防護(hù)措施來降低單位的風(fēng)險(xiǎn)。71精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟5:責(zé)任分配遴選出那些擁有合適的專長(zhǎng)和技能，可實(shí)現(xiàn)所選安全防護(hù)措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任。72精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟6:制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃在本步中將制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃。73精選2021版課件2.2信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）步驟7:實(shí)現(xiàn)所選擇的安全防護(hù)措施根據(jù)各自情況的不同，所實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)但不會(huì)根除風(fēng)險(xiǎn)。實(shí)現(xiàn)安全防護(hù)措施后仍然存在的風(fēng)險(xiǎn)為殘余風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理過程結(jié)束！74精選2021版課件1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法

75精選2021版課件3信息安全風(fēng)險(xiǎn)管理模型信息安全要素間的關(guān)系包含威脅的環(huán)境組織的資產(chǎn)資產(chǎn)的脆弱性保護(hù)資產(chǎn)、降低威脅后果所選用的防護(hù)措施組織可接受的殘余風(fēng)險(xiǎn)76精選2021版課件3信息安全風(fēng)險(xiǎn)管理模型風(fēng)險(xiǎn)管理中各要素間的關(guān)系77精選2021版課件3信息安全風(fēng)險(xiǎn)管理模型保護(hù)要求與威脅78精選2021版課件3信息安全風(fēng)險(xiǎn)管理模型保護(hù)要求與脆弱性79精選2021版課件3信息安全風(fēng)險(xiǎn)管理模型保護(hù)要求與影響80精選2021版課件1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法

81精選2021版課件0.2b)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,實(shí)施和運(yùn)行控制措施,以管理組織的信息安全風(fēng)險(xiǎn)4.2.1b)4)建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則4.2.1c)確定組織的風(fēng)險(xiǎn)評(píng)估方法4.2.1d)識(shí)別風(fēng)險(xiǎn)4.2.1e)分析和評(píng)價(jià)風(fēng)險(xiǎn)4.2.1f)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施4.2.1g)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施4.2.1h)獲得管理者對(duì)建議殘余風(fēng)險(xiǎn)的批準(zhǔn)4.2.2a)為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾硇袆?dòng)\資源\職責(zé)和優(yōu)先順序,即制定風(fēng)險(xiǎn)處理計(jì)劃(第5章)4ISO27001的要求82精選2021版課件4.3.1總則(強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估)4.3.1d)風(fēng)險(xiǎn)評(píng)估方法的描述4.3.1e)風(fēng)險(xiǎn)評(píng)估報(bào)告4.3.1f)風(fēng)險(xiǎn)處理計(jì)劃5.1f)決定接受風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)級(jí)別的準(zhǔn)則7.2e)以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅7.3b)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處理計(jì)劃的更新7.3.c)6)風(fēng)險(xiǎn)級(jí)別和或風(fēng)險(xiǎn)接受準(zhǔn)則8.3組織應(yīng)標(biāo)識(shí)變化的風(fēng)險(xiǎn),并標(biāo)識(shí)關(guān)注重大變化的風(fēng)險(xiǎn)的預(yù)防措施需求.預(yù)防措施的優(yōu)先級(jí)要依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定4ISO27001的要求83精選2021版課件A6.2.1標(biāo)識(shí)與外部各方相關(guān)風(fēng)險(xiǎn)A7.1.1資產(chǎn)清單4ISO27001的要求84精選2021版課件1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法

85精選2021版課件5.信息安全風(fēng)險(xiǎn)管理方法5.1ISO/IEC133355.2NIST-SP800-305.3OCTAVE5.4C2risk

86精選2021版課件5.1ISO/IEC133355.2NIST-SP800-305.3OCTAVE5.4C2risk

87精選2021版課件5.1.113335中的4種風(fēng)險(xiǎn)分析方法基線方法BaselineApproach非正式方法InformalApproach詳細(xì)風(fēng)險(xiǎn)分析DetailedRiskAnalysis組合方法CombinedApproach

88精選2021版課件5.1.113335中的4種風(fēng)險(xiǎn)分析方法基線方法BaselineApproach對(duì)所有系統(tǒng)選擇一組防護(hù)措施，使系統(tǒng)保護(hù)達(dá)到基線水平優(yōu)點(diǎn)：花費(fèi)最少資源、時(shí)間和精力；經(jīng)濟(jì)有效缺點(diǎn)：基線水準(zhǔn)過高或過低，都會(huì)給組織帶來麻煩89精選2021版課件5.1.113335中的4種風(fēng)險(xiǎn)分析方法非正式方法InformalApproach對(duì)所有系統(tǒng)進(jìn)行非正規(guī)的、注重實(shí)效的風(fēng)險(xiǎn)分析。不是以結(jié)構(gòu)法為基礎(chǔ)，而是利用個(gè)人的知識(shí)和經(jīng)驗(yàn)。如果在內(nèi)部沒有可用的安全專家，可請(qǐng)外部顧問進(jìn)行分析。優(yōu)點(diǎn)：不需要額外學(xué)習(xí)新技能；實(shí)施較快，適合小組織。缺點(diǎn)：1）沒使用結(jié)構(gòu)化方法，遺漏某些風(fēng)險(xiǎn)和關(guān)注范圍的可能性增加；2）由于這種方法的不正規(guī)性，其結(jié)果可能受到評(píng)審者主觀看法和偏見的影響；3）對(duì)所選用的防護(hù)措施幾乎沒有什么正當(dāng)理由，因此用于防護(hù)措施的費(fèi)用難以判定；4）隨著時(shí)間的流逝，沒有再評(píng)審，可能難以管理與安全相關(guān)的變化。90精選2021版課件5.1.113335中的4種風(fēng)險(xiǎn)分析方法詳細(xì)風(fēng)險(xiǎn)分析DetailedRiskAnalysis包括資產(chǎn)的標(biāo)識(shí)和估價(jià)，對(duì)這些資產(chǎn)威脅程度和這些資產(chǎn)的脆弱性的評(píng)估。這可能是一個(gè)非常耗費(fèi)資源的過程，因此，需要認(rèn)真建立邊界，也需要管理上的經(jīng)常關(guān)注。優(yōu)點(diǎn)：為每個(gè)系統(tǒng)的安全要求定義合適的安全級(jí)別；其結(jié)果有利于變更管理。缺點(diǎn)：費(fèi)時(shí)、費(fèi)力，需要專家支持。91精選2021版課件5.1.113335中的4種風(fēng)險(xiǎn)分析方法組合方法CombinedApproach首先識(shí)別高風(fēng)險(xiǎn)或?qū)I(yè)務(wù)運(yùn)行重要的那些系統(tǒng)。根據(jù)這些結(jié)果，將系統(tǒng)分類：為達(dá)到合適的保護(hù)，哪些系統(tǒng)需要詳細(xì)的風(fēng)險(xiǎn)分析；哪些系統(tǒng)基線保護(hù)足夠了。

優(yōu)點(diǎn)：花費(fèi)大量資源前，先分析判斷，把資源用在刀刃上。缺點(diǎn)：一旦初始分析不準(zhǔn)確，就可能造成更大的麻煩。92精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟1：確定評(píng)估范圍步驟2：識(shí)別資產(chǎn)步驟3：資產(chǎn)賦值步驟4：威脅評(píng)估步驟5：脆弱性評(píng)估步驟6：識(shí)別已有或計(jì)劃采取的防護(hù)措施步驟7：評(píng)價(jià)風(fēng)險(xiǎn)步驟8：選擇防護(hù)措施步驟9：風(fēng)險(xiǎn)接受步驟10：實(shí)施防護(hù)措施93精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟1：確定評(píng)估范圍評(píng)估范圍是一次風(fēng)險(xiǎn)評(píng)估所涉及的區(qū)域，應(yīng)涵蓋所有的評(píng)估對(duì)象。評(píng)估范圍的確定應(yīng)考慮組織場(chǎng)所、業(yè)務(wù)所涉及的IT系統(tǒng)和相關(guān)人員。明確評(píng)估范圍和邊界，使之有的放矢，有利于提高風(fēng)險(xiǎn)評(píng)估的質(zhì)量。94精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟2：識(shí)別資產(chǎn)資產(chǎn)是一次風(fēng)險(xiǎn)評(píng)估的評(píng)估對(duì)象，它可能是一個(gè)系統(tǒng)的組件或部分。評(píng)估范圍內(nèi)的所有資產(chǎn)都要被識(shí)別。資產(chǎn)可能包括：信息/數(shù)據(jù)、軟硬件、基礎(chǔ)設(shè)施、人員、無形資產(chǎn)等95精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟3：資產(chǎn)賦值資產(chǎn)的價(jià)值代表資產(chǎn)對(duì)組織業(yè)務(wù)而言的重要性。資產(chǎn)的所有者、使用者最清楚資產(chǎn)的價(jià)值。定性和定量的賦值。定量賦值是困難的，定性賦值容易些。等級(jí)描述詳細(xì)情形1可以忽略無傷害，低業(yè)務(wù)損失2較小立即受控制，中等業(yè)務(wù)損失3中等受控，高業(yè)務(wù)損失4較大大傷害，失去生產(chǎn)能力有較大業(yè)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大業(yè)務(wù)損失96精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟3：資產(chǎn)賦值應(yīng)識(shí)別一個(gè)資產(chǎn)對(duì)于其他資產(chǎn)的依賴?？赡軙?huì)影響資產(chǎn)的價(jià)值對(duì)于有依賴關(guān)系的資產(chǎn)賦值時(shí)應(yīng)予以修正：如果依賴的資產(chǎn)（如數(shù)據(jù)）價(jià)值低于或等于被考慮的資產(chǎn)的價(jià)值（如服務(wù)器），其價(jià)值保持不變；如果依賴的資產(chǎn)（如數(shù)據(jù)）價(jià)值較高，那么被考慮的資產(chǎn)的價(jià)值（如服務(wù)器）應(yīng)予以增加。97精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟4：威脅評(píng)估應(yīng)從資產(chǎn)的所有者、使用者應(yīng)、IT安全專家等處獲得評(píng)估輸入當(dāng)識(shí)別了威脅源和威脅目標(biāo)后，應(yīng)評(píng)估威脅發(fā)生的可能性：威脅的頻率；動(dòng)機(jī)環(huán)境性因素，如靠近化工廠、餐館、沿海等威脅評(píng)估輸出威脅列表，包括可能影響的資產(chǎn)、威脅發(fā)生的可能性。98精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟4：威脅評(píng)估威脅表述(a)影響（資產(chǎn)）價(jià)值(b)威脅發(fā)生的可能性（c）威脅排序(d)威脅A522威脅B243威脅C351威脅D135威脅E414威脅F243威脅評(píng)估的輸出：威脅列表99精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟5：脆弱性評(píng)估應(yīng)識(shí)別包括資產(chǎn)自身、周圍環(huán)境、管理等方面的脆弱性。注意：未被正確實(shí)施或失效的防護(hù)措施，本身就可能是一個(gè)脆弱性。識(shí)別脆弱性被威脅利用的難易程度，可以定性的度量：高、中、低等。脆弱性評(píng)估的輸出是脆弱性列表。100精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟6：識(shí)別已有或計(jì)劃采取的防護(hù)措施識(shí)別這些防護(hù)措施，判斷其有效性，確定哪些改進(jìn)、哪些保留、哪些需要替代。評(píng)價(jià)風(fēng)險(xiǎn)時(shí)應(yīng)考慮已采取的防護(hù)措施。101精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟7：評(píng)價(jià)風(fēng)險(xiǎn)針對(duì)資產(chǎn)，考慮其價(jià)值、威脅和脆弱性，綜合確定其風(fēng)險(xiǎn)的大小的過程，也可以稱為風(fēng)險(xiǎn)計(jì)算。通過風(fēng)險(xiǎn)計(jì)算，得出風(fēng)險(xiǎn)列表，并排序。有許多風(fēng)險(xiǎn)計(jì)算的方法（見下頁舉例），組織可以選擇使用。為選擇防護(hù)措施和實(shí)施防護(hù)措施的優(yōu)先級(jí)提供依據(jù)。102精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)計(jì)算例1：預(yù)先確定價(jià)值矩陣項(xiàng)目威脅等級(jí)低中高脆弱性等級(jí)低中高低中高低中高資產(chǎn)價(jià)值00121232331123234345223434545633454565674456567678103精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)計(jì)算例2：按威脅排序威脅表述(a)影響（資產(chǎn)）價(jià)值(b)威脅發(fā)生的可能性（c）風(fēng)險(xiǎn)值(d)威脅排序(e)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483104精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)計(jì)算例3：按風(fēng)險(xiǎn)發(fā)生的可能性和后果

可能性后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHH105精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟8：選擇防護(hù)措施應(yīng)識(shí)別和選擇被證明是合適的、正確的防護(hù)措施，以將風(fēng)險(xiǎn)降至可接受的水平。風(fēng)險(xiǎn)評(píng)估的結(jié)果是選擇防護(hù)措施的依據(jù)。ISO/IEC13335-4、ISO/IEC17799、NIST-SP-800-53等給出了防護(hù)措施集。選擇的防護(hù)措施可以：減少威脅、減少脆弱性、減少可能的影響等，以避免風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)。106精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟9：風(fēng)險(xiǎn)接受選擇防護(hù)措施和識(shí)別這些防護(hù)措施控制風(fēng)險(xiǎn)后，應(yīng)該認(rèn)識(shí)到總會(huì)有殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)分為可接受和不可接受。對(duì)于不可接受的風(fēng)險(xiǎn)應(yīng)予以重新評(píng)估。107精選2021版課件5.1.2包含詳細(xì)風(fēng)險(xiǎn)分析的風(fēng)險(xiǎn)管理步驟10：實(shí)施防護(hù)措施應(yīng)制定安全計(jì)劃，以實(shí)施防護(hù)措施。應(yīng)確保遵循安全計(jì)劃中的風(fēng)險(xiǎn)處理的優(yōu)先順序。應(yīng)實(shí)施符合性評(píng)審以確定防護(hù)措施被正確實(shí)施，確保安全計(jì)劃的要求被滿足，風(fēng)險(xiǎn)按規(guī)定被控制。持續(xù)改進(jìn)。108精選2021版課件5.1ISO/IEC133355.2NIST-SP800-305.3OCTAVE5.4C2risk

109精選2021版課件5.2.1風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理方法中的第一個(gè)過程風(fēng)險(xiǎn)是可能性和影響的函數(shù)風(fēng)險(xiǎn)評(píng)估方法包括9個(gè)步驟，如下圖所示：110精選2021版課件5.2.1風(fēng)險(xiǎn)評(píng)估步驟1：描述系統(tǒng)特征步驟2：識(shí)別威脅步驟3：識(shí)別脆弱性步驟4：分析安全控制步驟5：確定可能性步驟6：分析影響步驟7：確定風(fēng)險(xiǎn)步驟9：記錄評(píng)估結(jié)果步驟8：控制措施建議111精選2021版課件5.2.2風(fēng)險(xiǎn)減緩風(fēng)險(xiǎn)減緩方法的7個(gè)步驟：步驟1：對(duì)行動(dòng)優(yōu)先級(jí)排序步驟2：評(píng)估所建議的安全控制措施步驟3：實(shí)施成本效益分析步驟4：選擇安全控制措施步驟5：分配責(zé)任步驟6：制定控制措施實(shí)施計(jì)劃步驟7：實(shí)現(xiàn)所選擇的控制措施112精選2021版課件5.1ISO/IEC13335

5.2NIST-SP800-305.3OCTAVE

5.4C2risk

113精選2021版課件5.3OCTAVEOCTAVE：TheOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation

CarnegieMellonSEI開發(fā)一個(gè)信息安全風(fēng)險(xiǎn)評(píng)估方法該方法由一系列循序漸進(jìn)的討論會(huì)組成

3個(gè)階段8個(gè)過程

OCTAVE-S114精選2021版課件OCTAVE方法的基本原則自主：組織自己人員管理和指導(dǎo)信息安全風(fēng)險(xiǎn)評(píng)估適度度量：適應(yīng)不斷變化的技術(shù)和發(fā)展，需要一個(gè)適應(yīng)性強(qiáng)的度量集定義好的過程：依賴于已定義的標(biāo)準(zhǔn)化的評(píng)