第一章信息安全治理與風(fēng)險(xiǎn)管理

《數(shù)據(jù)安全管理》劉曉梅《數(shù)據(jù)安全管理》主要內(nèi)容數(shù)據(jù)安全治理與風(fēng)險(xiǎn)管理數(shù)據(jù)加密技術(shù)數(shù)據(jù)訪問控制數(shù)據(jù)通信安全數(shù)據(jù)安全法律法規(guī)數(shù)據(jù)環(huán)境安全學(xué)習(xí)方法關(guān)于考試數(shù)據(jù)與信息的關(guān)系

第一章數(shù)據(jù)安全治理與風(fēng)險(xiǎn)管理本章主要內(nèi)容SecurityterminologyandprinciplesProtectioncontroltypesSecurityframeworks,models,standards,andbestpracticesSecurityenterprisearchitectureRiskmanagementSecuritydocumentationInformationclassificationandprotectionSecurityawarenesstrainingSecuritygovernance信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織的信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育內(nèi)容目錄對(duì)信息安全管理的初步認(rèn)識(shí)信息安全實(shí)踐活動(dòng)應(yīng)該基于組織的愿景、使命和業(yè)務(wù)目標(biāo)的理解和支持，理解管理層對(duì)風(fēng)險(xiǎn)的容忍度，綜合考慮安全措施的成本收益，確保實(shí)施恰當(dāng)?shù)牟呗浴⒊绦?、?biāo)準(zhǔn)和指南，以在安全控制和業(yè)務(wù)操作之間形成一種平衡。組織通過實(shí)施管理性、技術(shù)性或操作性控制，保護(hù)其信息資產(chǎn)，以減少信息安全風(fēng)險(xiǎn)可能造成的損失。在此過程中，安全專家、高級(jí)管理層、安全審計(jì)人員、普通員工，都應(yīng)該明白各自的角色并承擔(dān)各自的責(zé)任。什么是管理？管理的目標(biāo)？管理的手段？信息安全管理是管理領(lǐng)域與信息安全領(lǐng)域的交叉什么是信息？消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)有意義的內(nèi)容ISO9000信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中；記憶在人的大腦里通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來說具有價(jià)值，就成為信息資產(chǎn)（informationassets）計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件、軟件、文檔資料關(guān)鍵人員組織內(nèi)部的服務(wù)具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)信息在其生命周期內(nèi)的處理方式創(chuàng)建(Create)使用(Use)存儲(chǔ)(storage)傳遞(delivery)更改(change)銷毀(destroy)信息安全的基本目標(biāo)ConfidentialityInterityAvailability對(duì)CIA目標(biāo)的解釋C

保密性（Confidentiality）-確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。I完整性（Integrity）-確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)篡改、防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性。A可用性（Availability）-確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：DAD泄漏篡改破壞isclosurelterationestruction對(duì)CIA目標(biāo)的解釋信息安全目標(biāo)通俗的理解進(jìn)不來拿不走改不了跑不了看不懂可審查CIA相關(guān)技術(shù)C

IAEncryptionfordataatrest(wholedisk,databaseencryption)Encryptionfordataintransit(IPSec,SSL,PPTP,SSH)Accesscontrol(Physicalandtechnical)Hashing(dataintegrity)Configurationmanagement(systemintegrity)Changecontrol(processintegrity)Accesscontrol(physicalandtechnical)SoftwaredigitalsigningTransmissionCRCfunctionsRedundantarrayofinexpensivedisks(RAID)ClusteringLoadbalancingRedundantdataandpowerlinesSoftwareanddatabackupsDiskshadowingCo-locationandoff-sitefacilitiesRoll-backfunctionsFail-overconfigurations信息安全的實(shí)質(zhì)采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。其他相關(guān)概念和原則私密性（Privacy）個(gè)人和組織控制私用信息采集、存儲(chǔ)和分發(fā)的權(quán)利。身份識(shí)別（Identification）用戶向系統(tǒng)聲稱其真實(shí)身份的方式。身份認(rèn)證（Authentication）測(cè)試并認(rèn)證用戶的身份。授權(quán)（Authorization）為用戶分配并校驗(yàn)資源訪問權(quán)限的過程。可追溯性（Accountability）確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力。抗抵賴性（Non-repudiation）確保信息發(fā)送者即創(chuàng)建者的能力。審計(jì)（Audit）對(duì)系統(tǒng)記錄和活動(dòng)進(jìn)行獨(dú)立復(fù)查和審核，確保符合性。什么是信息安全管理信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對(duì)信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，其主要活動(dòng)包括：識(shí)別信息資產(chǎn)及相關(guān)風(fēng)險(xiǎn)，采取恰當(dāng)?shù)牟呗院涂刂拼胧┮韵麥p風(fēng)險(xiǎn)，監(jiān)督控制措施有效性，提升人員安全意識(shí)等?，F(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。信息安全管理模型針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。根據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。實(shí)施所選的安全控制措施。提升人員安全意識(shí)。管理周期措施Action檢查Check計(jì)劃Plan實(shí)施Do內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織的信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育企業(yè)安全框架對(duì)現(xiàn)代企業(yè)來說，參與全球市場(chǎng)的競(jìng)爭(zhēng)，勢(shì)必面臨很多關(guān)于企業(yè)治理的法規(guī)，這就要求企業(yè)的管理更加關(guān)注整體治理水平，并更加嚴(yán)格地檢查內(nèi)部控制結(jié)構(gòu)，確保其存在并有效地運(yùn)作。與各種法律法規(guī)要求相伴隨的，是諸多能夠指導(dǎo)企業(yè)實(shí)施治理的最佳實(shí)踐，例如ITIL，ISO27001、COSO、COBIT等。企業(yè)可以參照最佳實(shí)踐，在IT方面做出恰當(dāng)?shù)耐顿Y決策，以符合業(yè)務(wù)使命和法規(guī)要求。IT不再是只花錢的后勤部門，而成為業(yè)務(wù)的核心支持，必須得到董事會(huì)和管理層的重視和支持。常規(guī)企業(yè)管控參考框架目前，國(guó)際上常見的有多種針對(duì)安全控制實(shí)施有效性審計(jì)的框架標(biāo)準(zhǔn)。這些資源對(duì)于企業(yè)設(shè)計(jì)和實(shí)施信息安全有很好的參考價(jià)值。這些框架標(biāo)準(zhǔn)包括：ISO/IEC27000信息安全管理Zachman,TOGAF企業(yè)架構(gòu)框架SABSA安全架構(gòu)框架COSO企業(yè)內(nèi)控管理模型COBITIT內(nèi)部控制ITILIT服務(wù)管理NIST800-53安全控制參考CMMI軟件開發(fā)管理PMBOK，Prince2項(xiàng)目管理ISO9000質(zhì)量管理SixSigma業(yè)務(wù)流程管理ISO38500IT治理ISO22301業(yè)務(wù)連續(xù)性管理關(guān)于COSO1985年，由美國(guó)多家機(jī)構(gòu)共同贊助成立了全國(guó)舞弊性財(cái)務(wù)報(bào)告委員會(huì)，即tread-way委員會(huì)，而COSO（CommitteeofSponsoringOrganizationsoftheTreadwayCommission）是Tread-way委員會(huì)的贊助機(jī)構(gòu)成立的私人性質(zhì)組織，于1992年公布了《內(nèi)部控制-整體框架》（也被稱作COSO框架）。2004年，美國(guó)SEC批準(zhǔn)發(fā)布了第2號(hào)審計(jì)標(biāo)準(zhǔn)（“與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的針對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制的審計(jì)”），依據(jù)就是COSO內(nèi)部控制框架。該標(biāo)準(zhǔn)關(guān)注對(duì)財(cái)務(wù)報(bào)告的內(nèi)部的審計(jì)工作，以及這項(xiàng)工作與財(cái)務(wù)報(bào)表審計(jì)的關(guān)系問題。COSO定義了滿足財(cái)務(wù)報(bào)告和披露目標(biāo)的一類內(nèi)控要素：控制環(huán)境（Controlenvironment）、風(fēng)險(xiǎn)評(píng)估（Riskassessment）、控制活動(dòng)（Controlactivities）、信息與溝通（Information&Communication）和監(jiān)測(cè)（Monitoring）COSO內(nèi)控模型已經(jīng)被采納成為很多組織應(yīng)對(duì)SOX404法案合規(guī)性的框架。

關(guān)于ITILInformationTechnologyInfrastructureLibraryV3起源于英國(guó)電腦局一套詳細(xì)描述最佳IT服務(wù)管理的叢書，信息服務(wù)管理實(shí)施上的業(yè)界標(biāo)準(zhǔn)，可簡(jiǎn)單概括為服務(wù)戰(zhàn)略、服務(wù)設(shè)計(jì)、服務(wù)交付與服務(wù)運(yùn)營(yíng)四大過程，14個(gè)IT具體流程。關(guān)于COBITC

ControlOb

objectivei

forinformationTandrelated

TechnologyCobiT是由ISACA（InformationSystemsAuditandControlAssociation）在1996年公布的、目前在國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。CobiT是一套專供企業(yè)經(jīng)營(yíng)者、使用者、IT專家、審計(jì)員與安控人員來強(qiáng)化和評(píng)估IT管理和控制的規(guī)范。CobiT架構(gòu)的主要目的是為業(yè)界提供關(guān)于IT控制的一個(gè)清楚的政策和發(fā)展的良好典范，這個(gè)架構(gòu)共有34個(gè)IT程序，分成4個(gè)領(lǐng)域：PO（Planning&Organization）、AI（Acquisition&Implementation）、DS（DeliveryandSupport）和ME（MonitoringandEvaluation），所有的程序中包含了302個(gè)控制目標(biāo)，全都提供了最佳的施行指導(dǎo)。2012年已升級(jí)到5.0版本。關(guān)于ISO27000系列標(biāo)準(zhǔn)最早是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BritishStandardsInstitute,BSI）制定的信息安全標(biāo)準(zhǔn)。目前已經(jīng)成為國(guó)際標(biāo)準(zhǔn)。由信息安全方面的最佳慣例組成的一套全面的控制集。信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。ISO27000標(biāo)準(zhǔn)的發(fā)展歷史BS7799ISO27002：1992年在英國(guó)首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息安全管理提供了一個(gè)依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)（BSI）組織的相關(guān)專家共同開發(fā)制定的。在1998年、1999年經(jīng)過兩次修訂之后出版BS7799-1：1999和BS7799-2：1999.2000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799;2000版。2005年對(duì)ISO/IEC17799:2000版進(jìn)行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2007年ISO/IEC270022001年修訂BS7799-2：1999,同年BS7799-2：2000發(fā)布。2002年對(duì)BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版ISO于2005年10月15采用BS7799-2：2002版本成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC27001:2005版。信息安全績(jī)效測(cè)量指南。ISO27001:ISO27002標(biāo)準(zhǔn)內(nèi)容框架安全策略Securitypolicy組織信息安全Organizinginformationsecurity資產(chǎn)管理Assetmanagement人力資源安全HumanresourcesSecurity物理與環(huán)境安全Physicalandenvironmentalsecurity通信與操作管理Communicationsandoperationsmanagement信息系統(tǒng)獲取、開發(fā)和維護(hù)InformationSystemsacquisition，developmentandmaintenance訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務(wù)連續(xù)性管理Businesscontinutymanagement符合性Compliance文件化的安全體系—安全策略？安全策略是對(duì)訪問規(guī)則的正式陳述，任何獲準(zhǔn)訪問某個(gè)機(jī)構(gòu)的技術(shù)和信息資產(chǎn)的人員，都必須遵守這些規(guī)則?！猂FC2196,SiteSecurityHandbookSecuritypolicy,是企業(yè)指導(dǎo)如何對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。它定義了組織對(duì)正確使用信息并保證信息安全的基本期望。安全策略是實(shí)施健全的信息安全的基礎(chǔ)。安全工作需要長(zhǎng)期的戰(zhàn)略方針，需要建立企業(yè)內(nèi)部全面、系統(tǒng)和文檔化的安全策略體系。信息安全策略應(yīng)當(dāng)闡明管理層的承諾，提出企業(yè)管理信息安全的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆绞剑ㄖ甘疚募团嘤?xùn)）傳達(dá)給員工。安全策略具有層次性方針——處于策略鏈的最高層次，它是由組織的高級(jí)管理層發(fā)布的，關(guān)于信息安全最一般性的聲明。方針應(yīng)該代表著高級(jí)管理層對(duì)信息安全承擔(dān)責(zé)任的一種承諾，一旦發(fā)布，要求組織成員必須遵守。方針的實(shí)施要依靠標(biāo)準(zhǔn)、指南和程序。標(biāo)準(zhǔn)——標(biāo)準(zhǔn)規(guī)定了在組織范圍內(nèi)強(qiáng)制執(zhí)行的對(duì)特定技術(shù)和方法的使用。標(biāo)準(zhǔn)起著驅(qū)動(dòng)方針的作用，標(biāo)準(zhǔn)可以用來建立方針執(zhí)行的強(qiáng)制機(jī)制。指南——類似于標(biāo)準(zhǔn)，也是關(guān)于加強(qiáng)系統(tǒng)安全的方法，但它是建議性的。指南比標(biāo)準(zhǔn)更靈活，考慮到了不同信息系統(tǒng)的特點(diǎn)。指南也可用來規(guī)定標(biāo)準(zhǔn)的開發(fā)方式，或者保證對(duì)一般性安全原則的遵守。彩虹系列、CC、BS7799等，都可以看作是此類?；€——基線建立的是滿足方針要求的最低級(jí)別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的開發(fā)通常都是以基線為基礎(chǔ)的，基線可以看是抽象的簡(jiǎn)單化的標(biāo)準(zhǔn)。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配置。程序——是執(zhí)行特定任務(wù)的詳細(xì)步驟。位于策略鏈的最低層次，是實(shí)現(xiàn)方針、標(biāo)準(zhǔn)和指南的詳細(xì)步驟。安全策略的層次模型戰(zhàn)略層次戰(zhàn)術(shù)層次目標(biāo)要求具體步驟實(shí)現(xiàn)方法方針Policy程序Procedure基線Baseline標(biāo)準(zhǔn)Standard指南Guideline安全策略不同層次不同作用方針作為最高級(jí)別的管理層陳述，它說明了需要保護(hù)的對(duì)象和目標(biāo)，標(biāo)準(zhǔn)和指南規(guī)定了用來保護(hù)特定對(duì)象的技術(shù)和方法，程序則是對(duì)執(zhí)行保護(hù)任務(wù)時(shí)具體步驟的細(xì)節(jié)描述（How）。例如，某個(gè)公司在其安全方針中聲明：所有的機(jī)密信息必須得到加密保護(hù)。這種聲明是很寬泛的模糊的，這時(shí)候，一個(gè)強(qiáng)制性的標(biāo)準(zhǔn)進(jìn)一步指出：所有保存在數(shù)據(jù)庫(kù)中的客戶信息必須采用DES算法進(jìn)行加密，數(shù)據(jù)的傳輸必須使用IPSec這一VPN技術(shù)。具體執(zhí)行安全策略時(shí)，相應(yīng)的程序會(huì)詳細(xì)解釋怎樣實(shí)施DES及IPSec技術(shù)。對(duì)于某些意外的情況，比如數(shù)據(jù)傳輸過程中遭受的竊取或破壞，相應(yīng)的處理方法就可以通過指南來描述。不同內(nèi)容側(cè)重的策略類型組織性策略：Organizationalorprogrampolicy,此類策略由高級(jí)管理層發(fā)布，該策略描述并委派信息安全責(zé)任，定義實(shí)現(xiàn)CIA的目標(biāo)，強(qiáng)調(diào)需要特別關(guān)注的信息安全問題（例如保護(hù)信用卡公司或健康保險(xiǎn)公司的機(jī)密信息，或者高可用性系統(tǒng)）。通常情況下，此類策略的范圍是整個(gè)組織。功能型策略：即特定問題策略（issue-specificpolicy），針對(duì)特定安全領(lǐng)域或關(guān)注點(diǎn)，例如訪問控制、持續(xù)性計(jì)劃、職責(zé)分離等，或者針對(duì)特定的技術(shù)領(lǐng)域，例如使用互聯(lián)網(wǎng)、電子郵件、無線訪問、遠(yuǎn)程訪問等。此類策略依賴于業(yè)務(wù)需要和可接受的風(fēng)險(xiǎn)水平。內(nèi)容包括：對(duì)特定問題的闡述，組織針對(duì)該問題的態(tài)度，適用范圍，符合性要求，懲戒措施等。特定系統(tǒng)策略：System-specificpolicy,針對(duì)特定的技術(shù)或操作領(lǐng)域制定的更細(xì)節(jié)化的策略，比如特定應(yīng)用或平臺(tái)。策略文件的構(gòu)成要素元素說明目標(biāo)（Objective）本策略文件為實(shí)現(xiàn)什么目標(biāo)而制定范圍（Scope）策略內(nèi)容涉及的主題、組織區(qū)域、技術(shù)系統(tǒng)、業(yè)務(wù)單元等有效期（Validity）策略文件適用期限所有者（Ownership）規(guī)定策略文件的所有者，由其負(fù)責(zé)策略文件的維護(hù)和完整性，策略文件應(yīng)該由其正式簽署生效責(zé)任（Responsibilities）在策略文件覆蓋的范圍內(nèi)，相關(guān)事務(wù)應(yīng)該由誰來負(fù)責(zé)內(nèi)容（Statement）這是策略文件中最重要的部分，規(guī)定具體的策略聲明復(fù)審（Review）規(guī)定對(duì)策略文件的復(fù)審事宜，包括是否進(jìn)行復(fù)審、具體復(fù)審時(shí)間、復(fù)審方式等違規(guī)處理（Compliance）對(duì)于不遵守策略條款內(nèi)容的處理辦法參考文件（SupportingDocumentation）引用的參考文件，比如其他策略文件、表格、記錄等應(yīng)該制定哪些策略？安全策略不應(yīng)該是一篇包含所有內(nèi)容的大的文件，為了使用和維護(hù)上的方便，策略應(yīng)該由多個(gè)小的文件組成，形成一個(gè)策略框架。有些策略適用于整個(gè)組織，有些策略只針對(duì)具體的某些環(huán)境或部門。一些關(guān)鍵的策略：AcceptableUsePolicy,AUP:定義用戶對(duì)計(jì)算資源的恰當(dāng)使用遠(yuǎn)程訪問策略：定義遠(yuǎn)程連接內(nèi)部網(wǎng)絡(luò)的可接受的方法信息保護(hù)策略：關(guān)于處理、存儲(chǔ)和傳輸敏感信息的規(guī)定邊界安全策略：描述了怎樣維護(hù)邊界安全病毒保護(hù)和預(yù)防策略：關(guān)于防病毒方面的規(guī)定口令策略：關(guān)于用戶級(jí)和系統(tǒng)級(jí)口令管理和維護(hù)的規(guī)定其他策略：電子郵件，無線安全，物理安全，訪問控制，Web訪問等安全策略注意事項(xiàng)好的安全策略應(yīng)該語言簡(jiǎn)潔，易于理解，使用明確的指令性語句。策略必須是可實(shí)施和可執(zhí)行的，有一個(gè)底線要考慮，那就是安全保護(hù)和生產(chǎn)效率的平衡。最高層的方針應(yīng)該具有一定的穩(wěn)定性（至少2-3年），避免出現(xiàn)技術(shù)實(shí)施細(xì)節(jié)，應(yīng)該和支持性文件建立聯(lián)系。策略一旦被批準(zhǔn)，應(yīng)該確保所有相關(guān)人員都去執(zhí)行，一定的懲戒機(jī)制是必要的。應(yīng)該通過多種途徑和方式，力求策略為所有相關(guān)人員獲知并理解。策略應(yīng)該復(fù)審和更新，以反映組織發(fā)生的變化。安全策略必須得到高級(jí)管理的支持，否則很難發(fā)揮效力。如何理解信息安全治理？ITGI（ITGovernanceInstitute）對(duì)IT治理的定義是：一種由關(guān)系和過程組成的機(jī)制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)及其過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。通過這種機(jī)制和架構(gòu)，IT的決策、實(shí)施、服務(wù)、監(jiān)督等流程，IT的各類資源和信息與企業(yè)戰(zhàn)略和目標(biāo)緊密關(guān)聯(lián)。同時(shí)，把在IT各個(gè)方面的最佳實(shí)踐從公司戰(zhàn)略的角度加以有機(jī)的融合，從而使企業(yè)能夠最大化IT在企業(yè)中的價(jià)值，并能夠抓住IT賦予的際遇和競(jìng)爭(zhēng)優(yōu)勢(shì)。信息安全治理作為IT治理的一個(gè)部分，包括這些內(nèi)容：董事會(huì)和高級(jí)管理者重視信息安全，為其發(fā)展指引方向，促動(dòng)安全戰(zhàn)略和策略。為各種安全活動(dòng)提供資源支持，委派管理責(zé)任，決策事務(wù)優(yōu)先順序，支持必要的變革，確定和風(fēng)險(xiǎn)管理相關(guān)的企業(yè)價(jià)值取向，獲得來自內(nèi)部或外部審計(jì)師的證明，確保安全投資在有效的基礎(chǔ)之上能夠度量和報(bào)告。ITGI建議，企業(yè)的管理層應(yīng)該根據(jù)其業(yè)務(wù)需要來建立安全策略，確保角色和責(zé)任清晰定義且可理解，識(shí)別各種威脅和弱點(diǎn)，實(shí)施必要的基礎(chǔ)設(shè)施和控制架構(gòu)（標(biāo)準(zhǔn)、度量、實(shí)踐和程序等），監(jiān)督違規(guī)事件，定期檢查和測(cè)試，實(shí)施意識(shí)教育，并在整個(gè)系統(tǒng)開發(fā)生命周期中建立安全管控。內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織的信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。

風(fēng)險(xiǎn)管理（RiskManagement）就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理相關(guān)要素定義資產(chǎn)（Asset）——對(duì)組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識(shí)別出威脅源（Threatsource）或威脅代理（threatagent）。弱點(diǎn)（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利于，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。資產(chǎn)業(yè)務(wù)影響威脅脆弱性風(fēng)險(xiǎn)錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密風(fēng)險(xiǎn)評(píng)估通俗類比風(fēng)險(xiǎn)要素之間的關(guān)系風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)RISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性資產(chǎn)威脅脆弱性安全沒有絕對(duì)可言絕對(duì)的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的；計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。組織的管理層應(yīng)該對(duì)此做出決策。在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計(jì)算機(jī)是無法使用的。關(guān)鍵是達(dá)成成本利益的平衡安全控制的成本所提供的安全水平

高高低安全成本/損失

支出平衡點(diǎn)安全事件造成的損失要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的安全不同的信息系統(tǒng)，對(duì)于安全的要求不同，不是“越安全越好”風(fēng)險(xiǎn)管理的一般過程否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)識(shí)別評(píng)估過程文檔評(píng)估過程文檔風(fēng)險(xiǎn)評(píng)估結(jié)果記錄評(píng)估結(jié)果文檔…風(fēng)險(xiǎn)管理過程的邏輯公式Risk=Threat*Vulnerable*AssetValueResidualRisk=(Threat*Vulnerable*AssetValue)*ControlGap什么是風(fēng)險(xiǎn)評(píng)估？風(fēng)險(xiǎn)評(píng)估（RiskAssesssment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來風(fēng)險(xiǎn)的大小或水平的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括：識(shí)別構(gòu)成風(fēng)險(xiǎn)的各種因素評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或大小確定組織承受風(fēng)險(xiǎn)的能力確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施包括風(fēng)險(xiǎn)分析（RiskAnalysis）和風(fēng)險(xiǎn)評(píng)價(jià)（RiskEvaluation）兩部分，但一般來說，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析同義。典型的RA方法NISTSP800-30和800-66：定性RA方法，其中SP800-66是專為HIPAA客戶而設(shè)計(jì)?；具^程如下：系統(tǒng)分類；弱點(diǎn)識(shí)別；威脅識(shí)別；對(duì)策識(shí)別；可能性評(píng)估；影響評(píng)估；風(fēng)險(xiǎn)評(píng)估；新對(duì)策推薦；文件報(bào)告OCTAVEOperationallyCriticalThreat,AssetandVulnerabilityEvaluation由CarnegieMellon大學(xué)的CERT協(xié)調(diào)中心（CERT/CC）開發(fā)是一種基于信息資產(chǎn)風(fēng)險(xiǎn)的自主式信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，強(qiáng)調(diào)以資產(chǎn)為驅(qū)動(dòng)，資產(chǎn)（asset）形成了組織的業(yè)務(wù)目標(biāo)和安全相關(guān)信息之間的橋梁，并且以保護(hù)關(guān)鍵的信息資產(chǎn)為目標(biāo)。由3個(gè)階段、8個(gè)過程構(gòu)成。CRAMMCCTARiskAnalysisandManagementMethod基本過程：資產(chǎn)識(shí)別和評(píng)價(jià)；威脅和弱點(diǎn)評(píng)估；對(duì)策選擇和建議STASpanningTreeAnalysis創(chuàng)建一個(gè)系統(tǒng)可能面臨的所有威脅的樹，樹枝可以代表諸如網(wǎng)絡(luò)威脅、物理威脅、組件失效等類別，進(jìn)行RA時(shí)，需要剪除不用的樹枝。FMEAFailureModesandEffectAnalysis源自硬件分析，也可用在軟件和系統(tǒng)分析上?？疾烀總€(gè)部件或模塊的潛在失效，并且考察失效影響Immediatelevel（部件或模塊）；Intermediatelevel（流程或包）；Systemwide風(fēng)險(xiǎn)評(píng)估可用工具和實(shí)踐方法采集數(shù)據(jù)的輔助工具：調(diào)查問卷（Questionnaire）檢查列表（Checklist）人員訪談（Interview）漏洞掃描器（Scanner）滲透測(cè)試（PenetrationTest）專用的風(fēng)險(xiǎn)評(píng)估工具：COBRACRAMMASSETCORASCORA定量評(píng)估和定性評(píng)估定性風(fēng)險(xiǎn)評(píng)估：憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)。定量風(fēng)險(xiǎn)評(píng)估：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)及其構(gòu)成因素進(jìn)行分析評(píng)估的一種方法。

定性風(fēng)險(xiǎn)分析優(yōu)點(diǎn)計(jì)算方式簡(jiǎn)單，易于理解和執(zhí)行不必精確算出資產(chǎn)價(jià)值和威脅頻率不必精確計(jì)算推薦的安全措施的成本流程和報(bào)告形式比較有彈性缺點(diǎn)本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評(píng)估者的經(jīng)驗(yàn)和能力，較難客觀地跟蹤風(fēng)險(xiǎn)管理的效果對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險(xiǎn)分析優(yōu)點(diǎn)評(píng)估結(jié)果是建立在獨(dú)立客觀的程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價(jià)值和預(yù)期損失易理解可利用自動(dòng)化工具幫助分析缺點(diǎn)輸入數(shù)據(jù)的可靠性和精確性難以保證沒有一種標(biāo)準(zhǔn)化的知識(shí)庫(kù)，依賴于提供工具或?qū)嵤┱{(diào)查的廠商信息計(jì)算量大，方法復(fù)雜，費(fèi)時(shí)費(fèi)力定量風(fēng)險(xiǎn)評(píng)估概述對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額。當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果就都可以被量化。定量分析有兩個(gè)關(guān)鍵指標(biāo)：事件發(fā)生的頻率（用ARO來表示）和威脅事件可能引起的損失（用EF來表示）。理論上講，通過定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)，但這有個(gè)前提，那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的。定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過程又極易出錯(cuò)，這就給分析的細(xì)化帶來了很大困難。實(shí)際風(fēng)險(xiǎn)分析時(shí)，采用定量分析或者純定量分析方法比較少。定量分析基本概念暴露因子（ExposureFactor,EF）——特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說損失的程度。單一損失期望（SingleLossExpectancy,SLE）——或者稱作SOC（SingleOccuranceCosts）,即特定威脅單次發(fā)生可能造成的潛在損失量。年度發(fā)生率（AnnualizedRateofOccurrence,ARO）——即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的次數(shù)。年度損失期望（AnnualizedLossExpectancy,ALE）——或者稱作EAC（EstimatedAnnualCost）表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。定量分析基本過程識(shí)別資產(chǎn)并為資產(chǎn)賦值；評(píng)估威脅和弱點(diǎn)，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%-100%之間）；計(jì)算特定威脅發(fā)生的次數(shù)（頻率），即ARO；計(jì)算資產(chǎn)的SLE；計(jì)算資產(chǎn)的ALE。

SLE＝AssetValue*EF

ALE=SLE*ARO定量分析舉例

假定某公司投資500,000美元建了一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運(yùn)營(yíng)中心的估計(jì)損失程度是45%。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運(yùn)營(yíng)中心所在的地區(qū)每5年會(huì)發(fā)生一次火災(zāi)，于是我們得出了ARO為0.20的結(jié)果。基于以上數(shù)據(jù)，該公司網(wǎng)絡(luò)運(yùn)營(yíng)中心的ALE將是45,000美元。AssetThreatAssetValueEFSLEAROALE網(wǎng)絡(luò)運(yùn)營(yíng)中心火災(zāi)$500,00000.45225,00000.20$45,000Web服務(wù)器電源故障$25,0000.256,2500.50$3,125Web數(shù)據(jù)病毒$150,00000.3350,0002.00$100,000客戶數(shù)據(jù)泄漏$250,0000.75187,5000.66$123,750定性風(fēng)險(xiǎn)評(píng)估概述定性分析方法目前采用最為廣泛，它帶有很強(qiáng)的主觀性，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)，例如“高”、“中”、“低”三級(jí)。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問卷(Questionnaire)、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來相對(duì)容易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。

識(shí)別信息資產(chǎn)對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全的直接目標(biāo)。劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來識(shí)別信息資產(chǎn)。信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。電子數(shù)據(jù)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊(cè)，培訓(xùn)資料，計(jì)劃等書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序?qū)嵨镔Y產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施人員：承擔(dān)特定職能和責(zé)任的人員或角色服務(wù)：計(jì)算和通信服務(wù)，外包服務(wù)，其他技術(shù)性服務(wù)組織形象與聲譽(yù)：無形資產(chǎn)評(píng)價(jià)信息資產(chǎn)資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮：信息資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成的直接損失信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力組織公眾形象和名譽(yù)上的損失，因業(yè)務(wù)受損導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)降級(jí)而引發(fā)的間接損失其他損失，例如保險(xiǎn)費(fèi)用的增加定性分析時(shí)，我們關(guān)心的是資產(chǎn)對(duì)組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或后果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級(jí)，例如：災(zāi)難性、較大、中等、較小、可忽略應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損失可能引發(fā)的后果。信息分類分級(jí)管理ForcommercialBusiness:ConfidentialPrivateSensitivePublicFormilitarypurposes:TopsecretSecretConfidentialSensitivebutunclassifiedUnclassified識(shí)別并評(píng)估威脅識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對(duì)不同資產(chǎn)造成影響。識(shí)別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅通常包括（來源）：人員威脅：故意破壞和無意失誤系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)故障環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等評(píng)估威脅可能性時(shí)要考慮到威脅源的動(dòng)機(jī)和能力因素（內(nèi)因）。威脅發(fā)生的可能性可以用“高”、“中”、“低”三級(jí)來衡量。識(shí)別并評(píng)估弱點(diǎn)針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到可被威脅利用的弱點(diǎn)，包括：技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人的不良習(xí)慣、操作過程的漏洞管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足弱點(diǎn)的識(shí)別途徑：審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測(cè)試和評(píng)估報(bào)告專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息自動(dòng)化的漏洞掃描工具和滲透測(cè)試評(píng)估弱點(diǎn)時(shí)需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級(jí)來衡量。資產(chǎn)、威脅及弱點(diǎn)關(guān)系弱點(diǎn)威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)沒有應(yīng)急計(jì)劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲(chǔ)介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù)竊取軟件數(shù)據(jù)完整性，信譽(yù)資產(chǎn)威脅A威脅B來源A1來源A2來源B1來源B2弱點(diǎn)A1弱點(diǎn)A2弱點(diǎn)B1來源B2風(fēng)險(xiǎn)評(píng)價(jià)之前需要確定兩個(gè)指標(biāo)風(fēng)險(xiǎn)影響（riskimpact）可以通過資產(chǎn)的價(jià)值評(píng)估來確定分級(jí)方式根據(jù)需要來定，例如：（1,2,3,4,5），即：（可忽略，較小，中等，較大，災(zāi)難性）風(fēng)險(xiǎn)可能性（probability）可以通過威脅可能性、弱點(diǎn)暴露的評(píng)價(jià)來綜合得出需要考慮到現(xiàn)有控制措施的效力（控制措施會(huì)影響對(duì)威脅及弱點(diǎn)的判斷）分級(jí)方式根據(jù)需要來定（取決于威脅和弱點(diǎn)的評(píng)價(jià)標(biāo)準(zhǔn)），例如：（1,2,3,4,5）,即：（幾乎肯定，很可能，有可能，不太可能，很罕見）對(duì)現(xiàn)有控制措施的考慮從針對(duì)性和實(shí)施方式來看，控制措施包括三類：管理性（Administrative）：對(duì)系統(tǒng)的開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等。從功能來看，控制措施類型包括：威懾性（Deterrent）預(yù)防性（Preventive）檢測(cè)性（Detective）糾正性（Corrective）安全事件威脅弱點(diǎn)影響利用引發(fā)造成威懾性控制防止預(yù)防性控制保護(hù)檢測(cè)性控制發(fā)現(xiàn)糾正性控制減少風(fēng)險(xiǎn)評(píng)估矩陣可能性影響可忽略1較小2中等3較大4災(zāi)難性55,幾乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）等級(jí)取值范圍名稱描述H25,20High，高風(fēng)險(xiǎn)最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。S12,15,16Significant，嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意，不可接受。M6,8,9,10Moderate，中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險(xiǎn)可以通過例行程序來處理?？山邮堋６ㄐ燥L(fēng)險(xiǎn)評(píng)估舉例風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感的信息，他可能竊取這些賣給公司的競(jìng)爭(zhēng)對(duì)手。確定風(fēng)險(xiǎn)因子：影響為3（中等）可能性為4（很可能）評(píng)估風(fēng)險(xiǎn)套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為S級(jí)（嚴(yán)重風(fēng)險(xiǎn)）應(yīng)對(duì)風(fēng)險(xiǎn)：根據(jù)公司確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取措施予以消減。可能性影響可忽略1較小2中等3較大4災(zāi)難性55,幾乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）12（S）確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（ReduceRisk）——實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會(huì)減少弱點(diǎn)：例如，通過安全意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力降低影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份規(guī)避風(fēng)險(xiǎn)（AvoidRisk）——有時(shí)候，組織可以選擇放棄某些可能引來風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以些規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險(xiǎn)（TransferRisk）——將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇接受。選擇控制措施以降低風(fēng)險(xiǎn)選擇安全措施時(shí)首先關(guān)注的是其基本功能，其次還有效力。選擇安全措施（countermeasures/safeguard）時(shí)需要進(jìn)行成本效益分析：基本原則：實(shí)施安全措施的代價(jià)不應(yīng)該大于所要保護(hù)資產(chǎn)的價(jià)值對(duì)策成本：購(gòu)買費(fèi)用，對(duì)業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等控制價(jià)值＝實(shí)施控制之前的ALE-控制的年成本—實(shí)施控制之后的ALE除了成本效益（），還應(yīng)該考慮到以下約束條件：時(shí)間約束，技術(shù)約束，環(huán)境約束法律約束，社會(huì)約束確定所選安全措施的效力，是看實(shí)施新措施之后還有什么殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)R0-控制效力△R殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rr對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。評(píng)價(jià)殘留風(fēng)險(xiǎn)（ResidualRisk）風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性風(fēng)險(xiǎn)場(chǎng)景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員

有權(quán)獨(dú)立訪問某類高敏感度的信息，他

可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)

手。實(shí)施控制之前：影響3（中等），可能性為4（很可能），

風(fēng)險(xiǎn)為12（S級(jí)）。實(shí)施控制之后：影響為3不變，可能性降為1,殘留風(fēng)險(xiǎn)

為3（L級(jí)）。應(yīng)對(duì)殘留風(fēng)險(xiǎn)：殘留風(fēng)險(xiǎn)在可接受范圍內(nèi)，說明措施

的應(yīng)用是成功的。殘留風(fēng)險(xiǎn)計(jì)算舉例可能性影響可忽略1較小2中等3較大4災(zāi)難性55,幾乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）3（L）例：灶臺(tái)上有一盤魚，老鼠通過梯子可以爬到灶臺(tái)上吃魚，問以下那種降低風(fēng)險(xiǎn)的方式最合適？A、養(yǎng)一只貓B、老鼠夾C、給盤子蓋上罩子D、拿走梯子內(nèi)容目錄信息安全管理基礎(chǔ)安全管控框架與體系風(fēng)險(xiǎn)管理組織的信息安全實(shí)踐信息安全意識(shí)、培訓(xùn)和教育要讓安全有效，必須讓所有人都知道并理解自身角色、責(zé)任以及權(quán)力因?yàn)楦鱾€(gè)組織需要求不同，要提出一種普遍的解決方案是不可能的組織必須以恰當(dāng)?shù)姆绞綖閱T工委派安全相關(guān)的角色，這方面應(yīng)該遵循職責(zé)分離原則在維護(hù)信息安全的過程中，每個(gè)人都有相應(yīng)的角色和責(zé)任，最重要的角色應(yīng)該是管理層，他們必須為整個(gè)信息安全規(guī)劃定好基調(diào)信息安全必須人盡其事高級(jí)管理者（Seniormanagement）決策層或高級(jí)管理層全面負(fù)責(zé)信息安全，是信息安全的最終責(zé)任人規(guī)劃信息安全，確定目標(biāo)和優(yōu)先次序，委派信息安全責(zé)任信息系統(tǒng)安全專家（Informationsecurityprofessionals）即信息安全官（InfosecOfficer）或CSO，受高級(jí)管理層委派（通常向CIO負(fù)責(zé)），負(fù)責(zé)實(shí)施和維護(hù)安全設(shè)計(jì)、實(shí)施、管理和復(fù)查組織的安全策略、標(biāo)準(zhǔn)、指南和程序協(xié)調(diào)組織內(nèi)部各單位之間所有的與安全相關(guān)的交互安全委員會(huì)（securitycommittee）成員來自：高級(jí)管理層代表；IT管理者；業(yè)務(wù)部門和職能部門負(fù)責(zé)人；信息安全官等安全委員會(huì)的責(zé)任：決策并批準(zhǔn)安全相關(guān)事務(wù)、策略、標(biāo)準(zhǔn)、指南和程序安全管理員（SecurityAdministrator）負(fù)責(zé)實(shí)施、監(jiān)視并執(zhí)行安全規(guī)定和策略各部門可以設(shè)立自己的安全管理員，負(fù)責(zé)執(zhí)行本部門安全管理事務(wù)向安全委員會(huì)/信息安全官報(bào)告信息系統(tǒng)審計(jì)師（Informationsystemsauditor）向安全目標(biāo)管理提供獨(dú)立保障檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效重要的角色和責(zé)任數(shù)據(jù)屬主（Dataowners）確定數(shù)據(jù)的分類等級(jí)，確定訪問特權(quán)，維護(hù)信息系統(tǒng)中數(shù)據(jù)的正確性和完整性保管者（Custodian）負(fù)責(zé)保管系統(tǒng)/數(shù)據(jù)庫(kù)，向合適的人員轉(zhuǎn)達(dá)以便響應(yīng)災(zāi)難恢復(fù)/應(yīng)急計(jì)劃人員從整體上負(fù)責(zé)組織的應(yīng)急計(jì)劃與應(yīng)用所有者、信息安全人員等協(xié)同工作，取得其他應(yīng)急計(jì)劃支持CIRT（ComputerIncidentResponseTeam）評(píng)價(jià)安全事件和造成的損害，提供修補(bǔ)系統(tǒng)正確的響應(yīng)，搜集證據(jù)用戶（User）具備應(yīng)有的安全意識(shí)遵守安全策略，恰當(dāng)使用信息和系統(tǒng)，通報(bào)安全事件其他相關(guān)角色和責(zé)任信息安全必須從整體考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣全程管理的思路，這就要求建立的是一套完整的信息安全管理體系，這樣的系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導(dǎo)和支持之下，才可能成功最高管理層通過明確信息安全目標(biāo)和方針為信息安全活動(dòng)指引方向最高管理層能夠?yàn)樾畔踩顒?dòng)提供必要的資源支持最高管理層能夠在重大問題上做出決策最高管理層可以協(xié)調(diào)不同單位不同環(huán)節(jié)的關(guān)系，提升促動(dòng)力說到底，最高管理層者是組織信息安全的最終責(zé)任人組織高管全面負(fù)責(zé)信息安全管理InformationSecurityOfficer/ChiefSecurityOfficer信息安全官應(yīng)該確保所有業(yè)務(wù)信息資產(chǎn)得到妥善保護(hù)，防止其遭受故意或無意的損壞、泄漏、篡改和破壞。通常沒有直接可用的資源來實(shí)施其職能，需要依靠組織中其他人員來實(shí)施并執(zhí)行保護(hù)信息的策略、程序、標(biāo)準(zhǔn)和指南。扮演的是組織內(nèi)部信息安全協(xié)調(diào)和促動(dòng)的角色。信息安全官應(yīng)該理解組織的業(yè)務(wù)目標(biāo)，引導(dǎo)風(fēng)險(xiǎn)管理過程，并向高管代表進(jìn)行有效傳達(dá)（避免技術(shù)細(xì)節(jié)，側(cè)重業(yè)務(wù)需求和成本收益分析），確保在業(yè)務(wù)操作和可接受風(fēng)險(xiǎn)之間達(dá)成恰當(dāng)?shù)钠胶?。具體職責(zé)包括：為信息安全活動(dòng)做預(yù)算。確保策略、程序、基線、標(biāo)準(zhǔn)和指南的開發(fā)。開發(fā)并提供安全意識(shí)程序。評(píng)價(jià)安全事件并做出響應(yīng)。開發(fā)安全合規(guī)性程序。建立安全度量機(jī)制。參與管理會(huì)議。協(xié)助內(nèi)部和外部審計(jì)。CSO的職責(zé)向CEO報(bào)告減少消息過濾，改善溝通，顯示組織對(duì)信息安全的重視向IT部門報(bào)告直接向CIO或IT負(fù)責(zé)人報(bào)告，一方面信息安全需要IT支持，另一方面，IT方面也需要了解業(yè)務(wù)需求和成本限制向行政部門報(bào)告向負(fù)責(zé)行政的VP報(bào)告，物理安全、人身安全、HR向風(fēng)險(xiǎn)管理部門報(bào)告更關(guān)注企業(yè)面臨的風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的方法向內(nèi)審部門報(bào)告內(nèi)審部門和信息安全部門通常會(huì)有“利益沖突”，內(nèi)審部門通常有財(cái)務(wù)、企業(yè)管理和一般性控制的背景，但在技術(shù)方面會(huì)有欠缺，及時(shí)有效的溝通和協(xié)助，可以避免產(chǎn)生誤解向法務(wù)部門報(bào)告律師關(guān)心的是法律法規(guī)的合規(guī)性建立有效的報(bào)告機(jī)制制定有效的安全管理計(jì)劃，可以確保信息安全策略得到恰當(dāng)執(zhí)行進(jìn)行有效安全管理的途徑，應(yīng)該是自上而下的（Top-Down）：最高管理層負(fù)責(zé)啟動(dòng)并定義組織的安全方針管理中層負(fù)責(zé)將安全策略充實(shí)成標(biāo)準(zhǔn)、基線、指南和程序，并監(jiān)督執(zhí)行業(yè)務(wù)經(jīng)理或安全專家負(fù)責(zé)實(shí)施安全管理文件中的指定配置最終用戶負(fù)責(zé)遵守組織所有的安全策略安全管理計(jì)劃小組應(yīng)該開發(fā)三類計(jì)劃：戰(zhàn)略計(jì)劃（strategicplan）是長(zhǎng)期計(jì)劃（例如5年），相對(duì)穩(wěn)定，定義了組織的目標(biāo)和使命戰(zhàn)術(shù)計(jì)劃（tacticalplan）是中期計(jì)劃（例如1年），是對(duì)實(shí)現(xiàn)戰(zhàn)略計(jì)劃中既定目標(biāo)的任務(wù)和進(jìn)度的細(xì)節(jié)描述，例如雇用計(jì)劃、預(yù)算計(jì)劃、系統(tǒng)開發(fā)計(jì)劃等操作計(jì)劃（operationalplan）是短期的高度細(xì)化的計(jì)劃，須經(jīng)常更新（每月或每季度），例如培訓(xùn)計(jì)劃、系統(tǒng)部署計(jì)劃、產(chǎn)品設(shè)計(jì)計(jì)劃等組織的信息安全建設(shè)應(yīng)按計(jì)劃行事人是信息安全的關(guān)鍵因素，人員管理不善會(huì)給組織帶來非常大的安全威脅和風(fēng)險(xiǎn)。有調(diào)查顯示，大多數(shù)重大信息安全事件通常都來自組織內(nèi)部，例如，員工受利益驅(qū)使將公司技術(shù)圖紙出賣給競(jìng)爭(zhēng)對(duì)手，利用內(nèi)部系統(tǒng)從事經(jīng)濟(jì)犯罪活動(dòng)，或者由于缺乏安全意識(shí)或操作技能而導(dǎo)致誤操作，引起信息系統(tǒng)故障等。為降低內(nèi)部員工所帶來的人為差錯(cuò)、盜竊、欺詐及濫用設(shè)施的風(fēng)險(xiǎn)，并且避免引發(fā)法律風(fēng)險(xiǎn)，組織應(yīng)該采取措施，加強(qiáng)內(nèi)部人員的安全管理：入職安全管理在職安全管理離職安全管理必須高度重視人員安全問題背景檢查是工作申請(qǐng)過程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)簡(jiǎn)歷中的基本信息?？梢酝ㄟ^ReferenceCheck來了解其真實(shí)履歷。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請(qǐng)求訪問申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查。通過背景檢查，可以防止：因?yàn)槿藛T解雇而導(dǎo)致法律訴訟因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要