CISP0302信息安全風險管理

信息平安風險管理培訓機構名稱講師名稱課程內容2知識域：風險管理工作內容知識子域：風險管理工作主要內容掌握建立背景的主要工作內容掌握風險評估的主要工作內容掌握風險處置的主要工作內容掌握批準監(jiān)督的主要工作內容掌握監(jiān)控審查的主要工作內容掌握溝通咨詢的主要工作內容3風險管理是各行業(yè)采取的普遍工作方法4通用風險管理定義定義是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情那么押后處理。5信息平安工作為什么需要風險管理方式常見問題問題根源淺析安全投資逐年增加，但看不到收益沒有根據風險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導致有限資金的有效利用率低按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現沒有根據企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風險。IT安全需求很多，有限的資金應優(yōu)先撥向哪個領域決策者沒有看到安全投資收益報告，資金劃撥無參考依據。當了CIO，時刻擔心系統(tǒng)出事，無法預見可能會出什么事沒有殘余風險清單，在什么條件可被觸發(fā)，如何做好控制6信息平安工作為什么需要風險管理方式〔續(xù)〕信息平安風險和事件不可能完全防止，沒有絕對的平安。信息平安是高技術的對抗，有別于傳統(tǒng)平安，呈現擴散速度快、難控制等特點因此管理信息平安必須以風險管理的方式，關鍵在于如何控制、化解和躲避風險，而不是完全消除風險。7風險管理是信息平安保障工作有效工作方式好的風險管理過程可以讓機構以最具有本錢效益的方式運行，并且使的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險。而不是將保貴的資源用于解決所有可能的風險風險管理是一個持續(xù)的PDCA管理過程。8什么是信息平安風險管理定義一：GB/Z24364《信息平安風險管理指南》信息平安風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構內部識別、優(yōu)化、管理風險，使風險降低到可接受水平的過程。了解風險+控制風險=管理風險9正確的風險管理方法10保護人身平安遏制損害評估損害確定損害部位修復損害部位審查響應過程并更新平安策略反響性風險管理評估風險實施風險決策風險控制評定風險管理的有效性前瞻性風險管理+=前瞻性風險管理反響性風險管理風險管理最正確實踐流行性感冒是一種致命的呼吸道疾病，美國每年都會有數以百萬計的感染者。這些感染者中，至少有100,000人必須入院治療，并且約有36,000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，那么采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結合才是最正確風險管理方法。信息平安風險管理的目標信息平安屬性11信息平安風險術語資產〔Asset〕威脅源〔ThreatAgent〕威脅〔Threat〕脆弱性〔Vunerability〕控制措施〔Countermeasure,safeguard,control〕可能性〔Likelihood,Probability〕影響〔Impact,loss〕風險〔 Risk〕剩余風險〔ResidentalRisk〕12信息平安風險術語-資產資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在〔多種分類方法〕物理的〔如計算設備、網絡設備和存儲介質等〕和邏輯的〔如體系結構、通信協(xié)議、計算程序和數據文件等〕；硬件的〔如計算機主板、機箱、顯示器、鍵盤和鼠標等〕和軟件的〔如操作系統(tǒng)軟件、數據庫管理軟件、工具軟件和應用軟件等〕；有形的〔如機房、設備和人員等〕和無形的〔如品牌、信心和名譽等〕；靜態(tài)的〔如設施和規(guī)程等〕和動態(tài)的〔如人員和過程等〕；技術的〔如計算機硬件、軟件和固件等〕和管理的〔如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、方案和人員等〕等。13信息平安風險術語-威脅是可能導致信息平安事故和組織信息資產損失的活動。威脅源采取恰當的威脅方式才可能引發(fā)風險威脅舉例：操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析14漏洞利用拒絕效勞竊取數據物理破壞社會工程信息平安風險術語-脆弱性是與信息資產有關的弱點或平安隱患。是造成風險的內因。脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當的威脅方式對信息資產造成危害。脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設備平安配置錯誤系統(tǒng)操作流程有缺陷維護人員平安意識缺乏15信息平安風險術語-控制措施是根據平安需求部署，用來防范威脅，降低風險的措施。舉例部署防火墻、入侵檢測、審計系統(tǒng)測試環(huán)節(jié)操作審批環(huán)節(jié)應急體系終端U盤管理制度16信息平安風險術語-可能性是指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的可能性很小系統(tǒng)存在漏洞，但只在與互聯網物理隔離的局域網運行，發(fā)生的可能性較小。互聯網公開漏洞且有相應的測試工具，發(fā)生不良后果的可能性很大。17信息平安風險術語-影響是指威脅源利用脆弱性造成不良后果的程度大小舉例網站被黑客控制，國家級網站比省市網站的名譽損失大很多。銀行門戶網站和內部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。同樣型號路由器被攻破，用于互聯網骨干路由要比企業(yè)內部系統(tǒng)的路由器損失更大。18信息平安風險術語-風險是指威脅源采用恰當的威脅方式利用脆弱性造成不良后果。網站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網站，修改網站內容，從而損害國家政府部門聲譽19威脅源威脅方式脆弱性風險采取利用造成信息平安風險術語之間的關系20威脅源威脅方式脆弱性風險采取利用造成資產不良影響控制措施破壞造成受控制直接影響信息平安風險術語-風險GB/T20984的定義：信息平安風險人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致平安事件的發(fā)生及其對組織造成的影響。信息平安風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息平安風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息平安風險只考慮那些對組織有負面影響的事件。21信息平安風險術語-剩余風險是指采取了平安措施后，信息系統(tǒng)仍然可能存在的風險。有些剩余風險是在綜合考慮了平安本錢與效益后不去控制的風險剩余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的平安事件舉例風險列表中有10類風險，根據風險本錢效益分析，只有前8項需要控制，那么另2項為剩余風險，一段時間內系統(tǒng)處于風險可接受水平。22信息平安風險術語-風險評估信息平安風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估平安事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息平安風險，將風險控制在可接受的水平，從而最大限度地保障信息平安提供科學依據。23風險評估的理解信息系統(tǒng)的平安風險信息是動態(tài)變化的，只有動態(tài)的信息平安評估才能發(fā)現和跟蹤最新的平安風險。所以信息平安評估是一個長期持續(xù)的工作，通常應該每隔1-3年就進行一次全面平安風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和根底環(huán)節(jié)風險管理是在倡導適度平安24信息平安風險術語-風險評估vs風險管理

風險管理風險評估目標將風險降低到可接受水平確定面臨的風險并確定其優(yōu)先級周期包括風險評估、風險決策、風險控制等所有階段風險管理中的單個階段計劃持續(xù)（PDCA）按需要25信息平安風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息平安風險管理指南》四個階段，兩個貫穿。--26建立背景背景建立是信息平安風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析。風險管理準備：確定對象、組建團隊、制定方案、獲得支持信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結構、關鍵要素信息平安分析：分析平安要求、分析平安環(huán)境27背景建立過程28風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢29風險評估信息平安風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監(jiān)督活動。風險分析準備：制定風險評估方案、選擇評估方法風險要素識別：發(fā)現系統(tǒng)存在的威脅、脆弱性和控制措施風險分析：判斷風險發(fā)生的可能性和影響的程度風險結果判定：綜合分析結果判定風險等級30風險評估過程31風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢32風險處理風險處理是為了將風險始終控制在可接受的范圍內。現存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體平安方案，部署控制措施33風險處理過程

34減低風險轉移風險躲避風險接受風險常用的四類風險處置方法

35減低風險通過對面臨風險的資產采取保護措施來降低風險首先應當考慮的風險處置措施，通常在平安投入小于負面影響價值的情況下采用。保護措施可以從構成風險的五個方面〔即威脅源、威脅行為、脆弱性、資產和影響〕來降低風險。36減低風險的具體方法減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認證措施，從而抵抗身份假冒這種威脅行為的能力；減少脆弱性：及時給系統(tǒng)打補丁，關閉無用的網絡效勞端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；37減低風險的具體方法防護資產：采用各種防護措施，建立資產的平安域，從而保證資產不受侵犯，其價值得到保持；降低負面影響：采取容災備份、應急響應和業(yè)務連續(xù)方案等措施，從而減少平安事件造成的影響程度。38轉移風險通過將面臨風險的資產或其價值轉移到更平安的地方來防止或降低風險。通常只有當風險不能被降低或防止、且被第三方〔被轉嫁方〕接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產生重大影響的風險。39轉移風險的具體做法在本機構不具備足夠的平安保障的技術能力時，將信息系統(tǒng)的技術體系〔即信息載體局部〕外包給滿足平安保障要求的第三方機構，從而防止技術風險。通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。40躲避風險通過不使用面臨風險的資產來防止風險。比方：在沒有足夠平安保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏。對于只處理內部業(yè)務的信息系統(tǒng)，不使用互聯網，從而防止外部的有害入侵和不良攻擊。通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下41接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果。用于那些在采取了降低風險和防止風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。接受風險不意味著不聞不問，需要對風險態(tài)勢變化進行持續(xù)的監(jiān)控，一旦開展為無法接受的風險就要進一步采取措施。42風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢43批準監(jiān)督是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統(tǒng)的平安要求，做出是否認可風險管理活動的決定監(jiān)督：是指檢查機構及其信息系統(tǒng)以及信息平安相關的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險44批準監(jiān)督過程

45風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢46監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息平安風險管理主循環(huán)的有效性。47監(jiān)控審查過程

48風險管理工作內容建立背景風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢49溝通咨詢通過暢通的交流和充分的溝通，保持行動的協(xié)調和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在風險管理與領導溝通，以得到理解和批準。單位內部各有關部門相互溝通，以得到理解和協(xié)作。與支持單位和系統(tǒng)用戶溝通，以得到了解和支持。為所有層面的相關人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能50溝通咨詢過程

51知識域：風險管理工作內容知識子域：系統(tǒng)生命周期中的風險管理掌握系統(tǒng)規(guī)劃階段的風險管理工作掌握系統(tǒng)設計階段的風險管理工作掌握系統(tǒng)實施階段的風險管理工作掌握系統(tǒng)運行維護階段的風險管理工作掌握系統(tǒng)廢棄階段的風險管理工作52何時作風險管理信息平安風險管理是信息平安保障工作中的一項根底性工作是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作規(guī)劃設計實施運維廢棄53明確信息系統(tǒng)平安建設的目的,對信息系統(tǒng)平安建設實現的可能性進行分析論證并設計出總體平安規(guī)劃方案。為了保證平安目標的實現，需要對信息系統(tǒng)規(guī)劃階段中可能引入平安風險的環(huán)節(jié)進行風險管理，從而降低在工程后期處理相同平安風險所帶來的高額本錢。規(guī)劃設計實施運維廢棄系統(tǒng)規(guī)劃階段的信息平安風險管理目標54序號風險管理活動所處風險管理過程1明確安全總體方針背景建立2安全需求分析背景建立4風險評估準則達成一致風險評估5安全實現論證分析風險處理、批準監(jiān)督系統(tǒng)規(guī)劃階段的信息平安風險管理55依據規(guī)劃階段輸出的總體平安規(guī)劃方案來設計信息系統(tǒng)平安的實現結構〔包括功能劃分、接口協(xié)議和性能指標等〕和實施方案〔包括實現技術、設備選型和系統(tǒng)集成等〕。在設計信息系統(tǒng)的實現結構和實施方案時，在技術的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入平安風險，因此對關鍵的環(huán)節(jié)應提出必要的平安要求并有針對性地進行平安風險管理。規(guī)劃設計實施運維廢棄風險管理的目標56信息系統(tǒng)設計階段的信息平安風險管理序號風險管理活動所處風險管理過程1設計方案分析論證背景建立、風險評估2安全技術選擇風險處理3安全產品選擇風險處理4自開發(fā)軟件設計風險處理風險處理57按照規(guī)劃和設計階段所定義的信息系統(tǒng)平安實施方案采購設備和軟件，開發(fā)定制功能集成、部署、配置和測試信息系統(tǒng)的平安機制培訓人員對是否允許系統(tǒng)投入運行進行批準監(jiān)督。規(guī)劃設計實施運維廢棄風險管理的目標58信息系統(tǒng)實施階段的風險管理序號風險管理活動所處風險管理過程1安全測試風險評估2檢查與配置風險處理3人員培訓風險處理4授權系統(tǒng)運行批準監(jiān)督59在信息系統(tǒng)經過授權投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運行和平安性。規(guī)劃設計實施運維廢棄風險管理的目標60信息系統(tǒng)運行維護階段的風險管理序號風險管理活動所處風險管理過程1安全運行和管理風險評估、風險處理2變更管理風險評估、風險處理3風險再評估風險評估、風險處理4定期重新審批批準監(jiān)督61確保對信息系統(tǒng)的過時或無用局部進行平安報廢處理，防止信息系統(tǒng)的平安要求和平安功能遭到破壞。規(guī)劃設計實施運維廢棄風險管理的目標62信息系統(tǒng)廢棄階段的風險管理序號風險管理活動所處風險管理過程1確定廢棄對象背景建立2廢棄對象的風險評估風險評估3廢棄過程的風險處理風險處理4廢棄后的評審批準監(jiān)督63知識域：信息平安風險評估實踐知識子域：風險評估流程和方法掌握國家對開展風險評估工作的政策要求理解風險評估、檢查評估和等級保護測評之間的關系掌握風險評估的實施流程：風險評估準備、資產識別、威脅評估、脆弱性評估、已有平安措施確認、風險分析、風險評估文檔記錄理解定量風險分析和定性風險分析的區(qū)別及優(yōu)缺點理解自評估和檢查評估的區(qū)別及優(yōu)缺點掌握典型風險計算方法：年度損失值〔ALE〕、矩陣法、相乘法掌握風險評估工具：風險評估與管理工具、系統(tǒng)根底平臺風險評估工具、風險評估輔助工具64國家對開展風險評估工作的政策要求1、《國家信息化領導小組關于加強信息平安保障工作的意見》〔中辦發(fā)[2003]27號〕中明確提出：“要重視信息平安風險評估工作，對網絡與信息系統(tǒng)平安的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統(tǒng)的重要性、涉密程度和面臨的信息平安風險等因素，進行相應等級的平安建設和管理”

65國家對開展風險評估工作的政策要求2、《國家網絡與信息平安協(xié)調小組〈關于開展信息平安風險評估工作的意見〉》〔國信辦【2006】5號文〕中明確規(guī)定了風險評估工作的相關要求：風險評估的根本內容和原那么風險評估工作的根本要求開展風險評估工作的有關安排66《關于開展信息平安風險評估工作的意見》的實施要求

1、信息平安風險評估工作應當貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設計階段，通過信息平安風險評估工作，可以明確信息系統(tǒng)的平安需求及其平安目標，有針對性地制定和部署平安措施，從而防止產生欠保護或過保護的情況。2、在信息系統(tǒng)建設完成驗收時，通過風險評估工作可以檢驗信息系統(tǒng)是否實現了所設計的平安功能，是否滿足了信息系統(tǒng)的平安需求并到達預期的平安目標?！蛾P于開展信息平安風險評估工作的意見》的實施要求

3、由于信息技術的開展、信息系統(tǒng)業(yè)務以及所處平安環(huán)境的變化，會不斷出現新的信息平安風險，因此，在信息系統(tǒng)的運行階段，應當定期進行信息平安風險評估，以檢驗平安措施的有效性以及對平安環(huán)境的適應性。當平安形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時，應及時進行信息平安風險評估。4、信息平安風險評估也是落實等級保護制度的重要手段，應通過信息平安風險評估為信息系統(tǒng)確定平安等級提供依據，根據風險評估的結果檢驗網絡與信息系統(tǒng)的防護水平是否符合等級保護的要求?！蛾P于開展信息平安風險評估工作的意見》的管理要求

1、信息平安風險評估工作敏感性強，涉及系統(tǒng)的關鍵資產和核心信息，一旦處理不當，反而可能引入新的風險，《意見》強調，必須高度重視信息平安風險評估的組織管理工作2、為躲避由于風險評估工作而引入新的平安風險，《意見》提出以下要求：1〕參與信息平安風險評估工作的單位及其有關人員必須遵守國家有關信息平安的法律法規(guī)，并承擔相應的責任和義務。2〕風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協(xié)議。3〕對關系國計民生和社會穩(wěn)定的根底信息網絡和重要信息系統(tǒng)的信息平安風險評估工作必須遵循國家的有關規(guī)定進行?！蛾P于開展信息平安風險評估工作的意見》的管理要求

3、加快制定和完善信息平安風險評估有關技術標準，盡快完善并公布《信息平安風險評估指南》和《信息平安風險管理指南》等國家標準，各行業(yè)主管部門也可根據本行業(yè)特點制定相應的技術標準。4、要加強信息平安風險評估核心技術、方法和工具的研究與攻關。5、要從抓試點開始，逐步探索組織實施和管理的經驗，用三年左右的時間在我國根底信息網絡和重要信息系統(tǒng)普遍推行信息平安風險評估工作，全面提高我國信息平安的科學管理水平，提升網絡和信息系統(tǒng)平安保障能力，為保障和促進我國信息化開展效勞。712071號文件對電子政務提出要求3、為落實《國家電子政務工程建設工程管理暫行方法》〔發(fā)改委[2007]55號令〕對風險評估的要求，發(fā)改高技【2008】2071號文件《關于加強國家電子政務工程建設工程信息平安風險評估工作的通知》提出了具體要求：〔相當于“信息平安審計”〕電子政務工程建設工程應開展信息平安風險評估工作評估的主要內容應包含：資產、威脅、脆弱性、已有的平安措施和剩余風險的影響等工程建設單位應在試運行期間開展風險評估工作，作為工程驗收的重要依據工程驗收申請時，應提交信息平安風險評估報告系統(tǒng)投入運行后，應定期開展信息平安風險評估72風險評估工作承擔單位國家保密局涉密信息系統(tǒng)安全保密測評中心涉密系統(tǒng)非涉密系統(tǒng)中國信息安全測評中心國家信息技術安全研究中心公安部信息安全等級保護中心風險評估專業(yè)隊伍73需要強調：一次測評兩個報告發(fā)改委要求：一次測評工作，提交兩個測評報告，即風險評估報告和等保測評報告風險評估報告的格式由中國信息平安測評中心和國家信息技術平安研究中心牽頭制定，根本格式參照原國信辦檢查評估的報告等保測評報告的格式由等級保護的主管部門負責制定風險評估、檢查評估和等級保護測評之間的關系等保測評、平安檢查都是在既定平安基線的根底上開展的符合性測評，其中等保測評是符合國家平安要求的測評，平安檢查是符合行業(yè)主管平安要求的符合性測評。而風險評估是在國家、行業(yè)平安要求的根底上，以被評估系統(tǒng)特定平安要求為目標而開展的風險識別、風險分析、風險評價活動。74風險評估實施流程75風險評估是“健康體檢+專項檢查”76資產威脅脆弱性現有控制措施人病毒身體情況預防措施風險評估健康體檢風險優(yōu)先級和風險控制建議病情診斷和藥方

準備識別計算

報告一個簡化的風險評估流程：準備〔Readiness〕、識別〔Realization〕、計算〔Calculation〕、報告〔Report〕識別資產威脅漏洞

準備資料審核

SLA

工作計劃組隊計算威脅概率事件影響風險定級

報告整改建議各類文檔

77

風險評估準備工作準備工作中要注意的問題相親：前期交流〔成功案例簡介、測評機構資質簡介、被測系統(tǒng)大致規(guī)模、測評效勞費用測算…〕訂婚：效勞水平協(xié)議SLA〔獲取詳細資料的前提，對方的授權、雙方的義務，可和保密協(xié)議整合…〕甲方禮單：資料審核〔明確系統(tǒng)范圍、為現場測評制訂問卷清單…〕乙方禮單：工作方案〔案例分析綜合組、管理組、網絡組…〕迎親：進場準備〔進場通知，如對方或第三方人員；設備準備，如工具等，標識佩戴…〕78現場測評79現場測評工作要注意的問題首次會議〔必須〕，聽取對方高管的情況簡介，向被測單位有關人員說明此次任務、測評方案介紹、雙方測評人員的相互認識…問詢技巧〔直接提問，如業(yè)務重要性；間接提問，如平安事件；反向提問，適合于所有方面〕資料核對〔拓撲核對，管理體系文檔，設計文檔，設備臺賬…〕現場檢測〔測試過程記錄、抓屏、數據提取…〕末次會議〔必須〕，向對方高管簡要總結現場測評的初步結論，但切忌做最終結論80

資產識別資產識別在整個風險評估中起什么作用？兩點：是整個風險評估工作的起點和終點資產識別的重點和難點是什么？一線：業(yè)務戰(zhàn)略→信息化戰(zhàn)略→系統(tǒng)特征〔管理/技術〕資產識別的方法有哪些？資產分類：樹狀法。自然形態(tài)分類〔勾畫資產樹：管理、技術…逐步往下細化〕；信息形態(tài)分類〔信息環(huán)境、信息載體、信息〕81按信息形態(tài)分類資產識別8283

威脅識別威脅識別與資產識別是何關系？點和面：重點識別和全面識別威脅識別的重點和難點是什么？三問：“敵人”在哪兒？效果如何？如何取證？威脅識別的方法有哪些？日志分析歷史平安事件專家經驗互聯網信息檢索威脅分類分為：人為成心威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非成心威脅判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間自然威脅地震、海嘯、洪水。8485

脆弱性識別脆弱性識別的難點是什么？三性：隱蔽性、欺騙性、復雜性脆弱性識別的方法有哪些？脆弱性分類：管理脆弱性。結構脆弱性〔如平安域劃分不當〕，操作脆弱性〔如平安審計員業(yè)務生疏〕；技術脆弱性。脆弱性識別與威脅識別是何關系？驗證：以資產為對象，對威脅識別進行驗證脆弱性識別內容86常見脆弱性識別工作方式87脆弱性識別方式工作對象安全配置核查服務器、網絡設備、終端、中間件、應用軟件漏洞掃描主機、應用程序滲透測試系統(tǒng)各個層面安全架構分析系統(tǒng)各個層面數據流分析網絡中的數據流訪談管理人員及系統(tǒng)開發(fā)、運維技術人員。?！，F有平安控制措施識別考慮：防護性措施威懾性措施預警性措施檢測性措施應急處理性措施88〔二〕風險分析GB/T20984-2007《信息平安風險評估標準》給出信息平安風險分析思路

89風險值=R〔A，T，V〕=R(L(T，V)，F(Ia，Va))。其中，R表示平安風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示平安事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致平安事件的可能性；F表示平安事件發(fā)生后造成的損失。方法優(yōu)點缺點定性簡易的計算方式不必精確算出資產價值不需得到量化的威脅發(fā)生率非技術或非安全背景的員工也能輕易參與流程和報告形式比較有彈性本質上是非常主觀的對關鍵資產的財務價值評估參考性較低缺乏對風險降低的成本分析

定量1.結果建立在獨立客觀的程序或量化指標上大部分的工作集中在制定資產價值和減緩可能風險主要目的是做成本效益的審核風險計算方法復雜需要自動化工具及相當的基礎知識投入大個人難以執(zhí)行定量分析與定性分析90定量分析方法步驟1-評估資產：根據資產價值〔AV〕清單,計算資產總價值及資產損失對財務的直接和間接影響步驟2-確定單一預期損失SLESLE是指發(fā)生一次風險引起的收入損失總額。SLE是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失?！睸LE類似于定性風險分析的影響。〕將資產價值與暴露系數相乘(EF)計算出SLE。暴露系數表示為現實威脅對某個資產造成的損失百分比。步驟3-確定年發(fā)生率AROARO是一年中風險發(fā)生的次數.91定量分析方法〔續(xù)〕步驟4-確定年預期損失ALEALE是不采取任何減輕風險的措施在一年中可能損失的總金額。SLE乘以ARO即可計算出該值。ALE類似于定量風險分析的相對級別。步驟5-確定控制本錢控制本錢就是為了躲避企業(yè)所存在風險的發(fā)生而應投入的費用.步驟6-平安投資收益ROSI(實施控制前的ALE〕–〔實施控制后的ALE〕–〔年控制本錢〕=ROSI92后果或影響的定性量度〔例如〕等級描述

詳細情形1可以忽略無傷害，低財務損失2

較小立即受控制，中等財務損失3

中等

受控，高財務損失4

較大大傷害，失去生產能力有較大財務損失5災難性持續(xù)能力中斷，巨大財務損失定性分析方法93可能性的定性量度〔例如〕等級描述

詳細情形A幾乎肯定預期在大多數情況發(fā)生B很可能在大多數情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性分析方法94風險分析矩陣—風險程度

可能性

后果可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風險H：高風險M：中等風險L:低風險定性分析方法95定性分析方法-矩陣法根據預設的等級劃分規(guī)那么判定風險結果。依此類推，得到所有重要資產的風險值，并根據風險等級劃分表，確定風險等級。96定性分析方法-相乘法〔1〕計算平安事件發(fā)生可能性 威脅發(fā)生頻率：威脅T1=1； 脆弱性嚴重程度：脆弱性V1=3。 平安事件發(fā)生可能性=〔2〕計算平安事件的損失 資產價值：資產A1=4； 脆弱性嚴重程度：脆弱性V1=3。 計算平安事件的損失，平安事件損失=〔3〕計算風險值 平安事件發(fā)生可能性=2； 平安事件損失=3。 平安事件風險值=〔4〕確定風險等級97定性分析與定量分析98方法優(yōu)點缺點定量按經濟影響排列風險優(yōu)先級；按經濟價值排列資產價值風險管理的效果以投資回報率衡量結果可用因管理而異的術語來表達（例如貨幣值和表達為具體百分比隨著組織建立數據的歷史記錄并獲得經驗，其精確度將隨時間的推移而提高–風險影響值以參與者的主觀意見為基礎–取得風險一致意見的過程非常耗時。–計算可能會非常復雜且耗時。–風險結果以財務術語表達，對非技術性人員而言可能難以解釋。–流程要求專業(yè)技術，因此參與者無法輕松通過流程獲得指導。

定性–風險排名具有可見性，易于理解。–更容易達成一致意見。–無需量化威脅發(fā)生頻率。–無需確定資產的財務價值。–更便于不是安全或計算機專家的人員參與。–重要風險之間沒有顯著區(qū)別。–因為沒有成本效益分析，很難證明控制措施的投資是合理的。–結果取決于風險管理小組人員的主觀判斷?！踩筹L險評估工作形式信息平安風險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結合、互為補充。自評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持。99

風險評估的工作形式—自評估由發(fā)起方實施或委托風險評估效勞技術支持方實施。優(yōu)點：有利于保密有利于發(fā)揮行業(yè)和部門內的人員的業(yè)務特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息平安知識缺點可能由于缺乏風險評估的專業(yè)技能，其結果不夠深入準確；同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。建議方法委托風險評估效勞技術支持方實施的評估，過程比較標準、評估結果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。100風險評估的工作形式—檢查評估檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的風險評估。優(yōu)點：最具權威性。通過行政手段加強信息平安的重要措施。缺點：間隔時間較長，一般是抽樣進行，難于貫穿信息系統(tǒng)的生命周期。101〔四〕風險評估工具風險評估與管理工具一套集成了風險評估各類知識和判據的管理信息系統(tǒng)，以標準風險評估的過程和操作方法；或者是用于收集評估所需要的數據和資料，基于專家經驗，對輸入輸出進行模型分析。系統(tǒng)根底平臺風險評估工具主要用于對信息系統(tǒng)的主要部件〔如操作系統(tǒng)、數據庫系統(tǒng)、網絡設備等〕的脆弱性進行分析，或實施基于脆弱性的攻擊。風險評估輔助工具實現對數據的采集、現狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據。102知識域：信息平安風險評估實踐知識子域：風險分析實例了解典型信息系統(tǒng)風險評估實踐過程103評估依據國家標準標準XX行業(yè)平安要求GB/T20274-2006信息系統(tǒng)平安保障評估框架GB/T20984-2007信息平安風險評估標準GB/T18336-2001信息技術平安性評估準那么xx系統(tǒng)網絡與