風(fēng)險(xiǎn)評(píng)估與管理.ppt

1、風(fēng)險(xiǎn)評(píng)估與管理,PKSEC 北京知識(shí)安全工程中心,中訊集團(tuán)培訓(xùn),.,2005年11月3日,風(fēng)險(xiǎn)評(píng)估與管理,與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相關(guān)的概念解析 信息安全風(fēng)險(xiǎn)管理的一般過程 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問題,1 概念解析,1.1 與 過程相關(guān)的概念,風(fēng)險(xiǎn) 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)處理 資產(chǎn) 威脅 脆弱性 防護(hù)措施,1.2 與 要素相關(guān)的概念,概念解析1 - 風(fēng)險(xiǎn),風(fēng)險(xiǎn)（risk） 風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。 對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：（1）一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率；（2）上述

2、事件發(fā)生之后所帶來的影響。,概念解析1 - 風(fēng)險(xiǎn)（續(xù)）,在ISO/IEC GUIDE73將事件定義為： 事件的概率及其結(jié)果的組合。 注1 通常，只有至少存在產(chǎn)生不利結(jié)果可能性的情況下才使用“風(fēng)險(xiǎn)”術(shù)語。 注2 在某些情況下，風(fēng)險(xiǎn)是由偏離期望的結(jié)果或事件的可能性引起的。,概念解析2 - 風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)管理(Risk management) 風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。 風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。,概念解析2 - 風(fēng)險(xiǎn)管理,對(duì)風(fēng)險(xiǎn)管理的過程而言，不同的方法或工具提供了不同的步驟，但是信息安全風(fēng)險(xiǎn)管理可操作的相關(guān)過程和活動(dòng)一

3、般都要包括：,確定評(píng)估范圍,識(shí)別評(píng)估控制措施,識(shí)別評(píng)估資產(chǎn),識(shí)別評(píng)估威脅,選擇安全措施,識(shí)別評(píng)估脆弱性,確定風(fēng)險(xiǎn)處理策略,風(fēng)險(xiǎn)評(píng)價(jià),制定安全計(jì)劃,實(shí)施安全計(jì)劃,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)處理,概念解析3 - 風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估(risk assessment) 風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，是組織確定信息安全要求的途徑之一，屬于組織信息安全管理體系策劃的過程。 通過風(fēng)險(xiǎn)評(píng)估識(shí)別組織所面臨的安全風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)控制的優(yōu)先等級(jí)，從而對(duì)其實(shí)施有效控制，將風(fēng)險(xiǎn)控制在組織可以接受的范圍之內(nèi)。,概念解析3 - 風(fēng)險(xiǎn)評(píng)估（續(xù)）,區(qū)分風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)管理是把整個(gè)組織內(nèi)的風(fēng)險(xiǎn)降低

4、到可接受水平的整個(gè)過程。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的周期，通常以一定的間隔重新開始，來更新流程中各個(gè)階段的數(shù)據(jù)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過程。 風(fēng)險(xiǎn)評(píng)估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的過程，是風(fēng)險(xiǎn)管理流程中最必須，最謹(jǐn)慎的一個(gè)過程。當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等，組織都可能會(huì)啟動(dòng)風(fēng)險(xiǎn)評(píng)估。,概念解析4 - 風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)分析(risk analysis) 風(fēng)險(xiǎn)分析是標(biāo)識(shí)安全風(fēng)險(xiǎn)，確定其大小和標(biāo)識(shí)需要保護(hù)措施的區(qū)域的過程，其目的是分離可接受的小風(fēng)險(xiǎn)和不能接受的大風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處理提供數(shù)據(jù)。,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,就風(fēng)險(xiǎn)分析的方法而言

5、，目前應(yīng)用中沒有所謂的正確或錯(cuò)誤的方法。一個(gè)組織選擇一個(gè)自己感覺順手，可以信任，且能產(chǎn)生可比較、可再現(xiàn)性的結(jié)果才是最重要的。 盡管評(píng)估風(fēng)險(xiǎn)的方法有很多，但是大多數(shù)方法都是基于兩種方法或兩種方法的組合：定性的分析方法和定量的分析方法。,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,定性分析方法 定性分析方法是最廣泛使用的風(fēng)險(xiǎn)分析方法。主要采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性。 該方法通常只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率。,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,定量分析方法 定量分析方法在后果和可能性分析中采用數(shù)值（不是定性分行中所使用的敘述性數(shù)值范圍），并采用

6、從各種各樣的來源中得到的數(shù)據(jù)。 定量分析步驟主要集中在現(xiàn)場(chǎng)調(diào)查階段，針對(duì)系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行定量的調(diào)查、分析，為后續(xù)評(píng)估工作提供參考依據(jù)。,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,定性風(fēng)險(xiǎn)分析示例（此示例來源于ISO/IEC13335-3）,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,步驟1：結(jié)果或影響的定性量度,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,步驟2：可能性的定性量度,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,步驟3：從而得出風(fēng)險(xiǎn)分析矩陣,其中：E：要求立即采取措施 H：需要高級(jí)管理部門的注意 M：必須規(guī)定管理責(zé)任 L：用日常程序處理,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,定量風(fēng)險(xiǎn)分析的示例:,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,計(jì)算

7、風(fēng)險(xiǎn)的年預(yù)期損失 ALE: Annual Risk Expectancy年預(yù)期損失 ARO: Annual Rate of Occurrence 年發(fā)生率 SLE: Single Loss Expectancy單一風(fēng)險(xiǎn)預(yù)期損失 ALE=ARO*SLE,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,兩種方法的比較： 目前風(fēng)險(xiǎn)分析方法以定性分析為主。 由于定性的分析方法不是用數(shù)學(xué)或統(tǒng)計(jì)的工具將風(fēng)險(xiǎn)模型化，因此一次風(fēng)險(xiǎn)評(píng)估的成敗與執(zhí)行者的經(jīng)驗(yàn)有很大的關(guān)系。 定量方法有一些固有的難以克服的明顯缺點(diǎn)。 具體對(duì)比見下表：,概念解析4 - 風(fēng)險(xiǎn)分析（續(xù)）,比較：,概念解析5 - 風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)評(píng)價(jià)(risk evalua

8、tion) 是把前些步驟識(shí)別分析出來的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)判據(jù)進(jìn)行比較，以判斷特定的風(fēng)險(xiǎn)是否可接受或需采取其它措施處置。 風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果為具有不同等級(jí)的風(fēng)險(xiǎn)列表。,概念解析5 - 風(fēng)險(xiǎn)評(píng)價(jià)（續(xù)）,目前在風(fēng)險(xiǎn)評(píng)價(jià)的方法上，國(guó)際上一直還在不斷的研究中，也有相當(dāng)多的定量或者定性的風(fēng)險(xiǎn)計(jì)算方法被提出，但是由于安全風(fēng)險(xiǎn)要素的各個(gè)環(huán)節(jié)存在太多的不確定因素和無法定量的特性，因此并沒有被公認(rèn)接受的風(fēng)險(xiǎn)評(píng)價(jià)方法。,概念解析6 - 風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)處理 (risk mitigation) 風(fēng)險(xiǎn)處理是風(fēng)險(xiǎn)管理的第二個(gè)過程。 它包括對(duì)風(fēng)險(xiǎn)評(píng)估過程中建議的安全控制進(jìn)行優(yōu)先級(jí)排序、評(píng)估和實(shí)現(xiàn)。,概念解析6 - 風(fēng)險(xiǎn)處理（續(xù)）,風(fēng)險(xiǎn)評(píng)

9、估只為組織的信息安全活動(dòng)提供一個(gè)方向，并沒有必要導(dǎo)致重大的信息安全改進(jìn)。 不管評(píng)估方法有多專業(yè)和多詳細(xì)，都不能改進(jìn)組織的安全狀態(tài)，除非組織通過實(shí)現(xiàn)評(píng)估結(jié)果將改進(jìn)活動(dòng)堅(jiān)持到底。 所以評(píng)估結(jié)束后，組織必須開發(fā)詳細(xì)的行動(dòng)計(jì)劃，計(jì)劃如何根據(jù)評(píng)估實(shí)現(xiàn)保護(hù)策略和風(fēng)險(xiǎn)處理計(jì)劃。,概念解析6 - 風(fēng)險(xiǎn)處理（續(xù)）,風(fēng)險(xiǎn)處理是一種系統(tǒng)化方法，高級(jí)管理人員可用它來降低使命風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理可以通過下列措施實(shí)現(xiàn)： 風(fēng)險(xiǎn)承受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，或?qū)崿F(xiàn)安全防護(hù)措施，以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。 風(fēng)險(xiǎn)規(guī)避：通過消除風(fēng)險(xiǎn)的原因和/或后果（如在識(shí)別出風(fēng)險(xiǎn)后放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)轉(zhuǎn)移：通過

10、使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)。,概念解析 與過程相關(guān)概念小結(jié),其關(guān)系可以簡(jiǎn)明表示如下：,風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,概念解析7 - 資產(chǎn),資產(chǎn)(asset) 所謂資產(chǎn)就是被組織賦予了價(jià)值，組織需要保護(hù)的有用資源。 ISO13335-1定義資產(chǎn)為所有對(duì)組織有用的東西。 為了對(duì)資產(chǎn)進(jìn)行有效的保護(hù)，組織需要在各個(gè)管理層對(duì)資產(chǎn)落實(shí)責(zé)任，進(jìn)行適當(dāng)?shù)墓芾怼?概念解析7 - 資產(chǎn)（續(xù)）,以下是資產(chǎn)示例及分類： 信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作與維護(hù)程序、知識(shí)產(chǎn)權(quán)、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排等。 書面文件：合同、公司文件、人事記錄、財(cái)務(wù)記錄

11、、采購(gòu)文件、發(fā)票等。 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序等。,概念解析7 - 資產(chǎn)（續(xù)）,物理資產(chǎn)：計(jì)算機(jī)、服務(wù)器、路由器、集線器、防火墻、通訊設(shè)備、其它技術(shù)設(shè)備（供電設(shè)備、空調(diào)設(shè)備）、家具、辦公場(chǎng)所等。 人員：?jiǎn)T工、客戶、合同工、警衛(wèi)。 服務(wù)：計(jì)算和通訊服務(wù)及其它技術(shù)服務(wù)（供暖、照明、電力、空調(diào)）等。 公司形象和聲譽(yù)：如正面和負(fù)面的宣傳、品牌附加值等。,威脅(threat) 威脅是一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。 ISO 17799 將威脅定義為對(duì)組織造成潛在影響的原因。 NIST SP800-30將威脅定義為可能對(duì)系統(tǒng)造成損害的事件或?qū)嶓w。,概念解析8 - 威脅,概念

12、解析8 - 威脅（續(xù)）,威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。,概念解析8 - 威脅（續(xù)）,以下幾種都是常見的威脅： 對(duì)信息、信息系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的非授權(quán)訪問 這些一般都是有意圖、有目的的行為，會(huì)對(duì)信息的保密性、完整性和可用性造成損害，損害的程度決定于非授權(quán)用戶的目的和擁有的權(quán)限。 信息的非授權(quán)修改 這是一種有預(yù)謀的威脅，可能會(huì)損害資產(chǎn)的保密性與可用性。,概念解析8 - 威脅（續(xù)）,惡意軟件 惡意軟件的引入可以是有意的（具有一定的目的和企圖）和無意的（運(yùn)行了來歷不明的軟件），惡意軟件威脅資產(chǎn)的保密性、完整性和可用性。 軟件失效 由于有預(yù)謀的事件或

13、意外事件發(fā)生，從而導(dǎo)致軟件的完整性與可用性的損失。,概念解析8 - 威脅（續(xù)）,火災(zāi) 這是一種意外事故，也可能是一種有預(yù)謀的事件，會(huì)影響資產(chǎn)的完整性與可用性。 偷竊 這是一種有預(yù)謀的威脅，可能會(huì)損害資產(chǎn)的保密性與可用性。 人員錯(cuò)誤 可能是有意的或無意的行為，有時(shí)此類事件的發(fā)生僅僅是員工缺乏安全意識(shí)，并不是有什么惡意企圖。,概念解析9 - 脆弱性,脆弱性(Vulnerability) 脆弱性是信息資產(chǎn)及其防護(hù)措施在安全方面的不足和弱點(diǎn)。 脆弱性也常常被稱為漏洞。 NIST SP800-30將漏洞定義為安全程序、技術(shù)控制措施、物理控制措施或其他控制措施中可能被威脅利用的條件或弱點(diǎn)，或缺乏控制措施。

14、,概念解析9 - 脆弱性（續(xù)）,經(jīng)驗(yàn)表明：大多數(shù)重大的漏洞通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)漏洞。,概念解析9 - 脆弱性（續(xù)）,以下都是常見的脆弱性： 缺乏物理保護(hù)或保護(hù)不適當(dāng) 可能被威脅利用，損害資產(chǎn)的保密性、完整性和可用性 口令選擇或使用不當(dāng) 可能導(dǎo)致對(duì)系統(tǒng)信息的非授權(quán)訪問，從而損害資產(chǎn)的保密性、完整性和可用性。,概念解析9 - 脆弱性（續(xù)）,與外部網(wǎng)絡(luò)的連接沒有保護(hù) 能導(dǎo)致在聯(lián)網(wǎng)系統(tǒng)中存儲(chǔ)與處理信息的保密性、完整性和可用性的損害。 沒有保護(hù)的存檔文件 有可能被偷竊，從而損害資產(chǎn)的保密性、完整性和可用性。 不足夠的安全培訓(xùn) 可

15、能造成用戶缺乏足夠的安全意識(shí)，破壞信息的保密性，或者產(chǎn)生用戶錯(cuò)誤，從而造成對(duì)資產(chǎn)的完整性和可用性的損害。,概念解析10 - 防護(hù)措施,防護(hù)措施 (safeguard) 防護(hù)措施是對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。 防護(hù)措施 本質(zhì)上都是減少脆弱性的。,概念解析- 與要素相關(guān)概念小結(jié),風(fēng)險(xiǎn)評(píng)估與管理,與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相關(guān)的概念解析 信息安全風(fēng)險(xiǎn)管理的一般過程 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問題,2 信息安全風(fēng)險(xiǎn)管理的一般過程,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程,2.2 信息安全風(fēng)險(xiǎn)處理的過程,2.1 信息

16、安全風(fēng)險(xiǎn)評(píng)估的過程,風(fēng)險(xiǎn)評(píng)估流程圖,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟1：描述系統(tǒng)特征 在對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行評(píng)估中，第一步是定義工作范圍。 在該步中，要確定信息系統(tǒng)的邊界以及組成系統(tǒng)的資源和信息。對(duì)信息系統(tǒng)的特征進(jìn)行描述后便確立了風(fēng)險(xiǎn)評(píng)估工作的范圍，刻畫了對(duì)系統(tǒng)進(jìn)行授權(quán)運(yùn)行（或認(rèn)可）的邊界，并為風(fēng)險(xiǎn)定義提供了必要的信息（如硬件、軟件、系統(tǒng)連通性、負(fù)責(zé)部門或支持人員）。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟1.1 系統(tǒng)相關(guān)信息 步驟1.2 信息收集技術(shù) 可以使用下列一項(xiàng)或多項(xiàng)技術(shù)在其運(yùn)行邊界內(nèi)獲取相關(guān)的系統(tǒng)信息： 調(diào)查問卷 現(xiàn)場(chǎng)面談 文檔審查 使用自動(dòng)掃描工具,2.1 信息安全風(fēng)

17、險(xiǎn)評(píng)估的過程(續(xù)),步驟2：識(shí)別威脅 如果沒有脆弱性，威脅源無法造成風(fēng)險(xiǎn)；在確定威脅的可能性時(shí)，應(yīng)該考慮威脅源、潛在的脆弱性和現(xiàn)有的安全防護(hù)措施。 步驟2.1 識(shí)別威脅源 步驟2.2 動(dòng)機(jī)和行為,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟3：識(shí)別脆弱性 本步的目標(biāo)是制定系統(tǒng)中可能會(huì)被威脅源利用的脆弱性（缺陷或薄弱環(huán)節(jié)）的列表。 步驟3.1 脆弱性源 步驟3.2 系統(tǒng)安全測(cè)試,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟4：分析安全控制 本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率）。 步驟4.1 安全防護(hù)措施 步驟4.2

18、 安全防護(hù)措施的分析技術(shù),2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟5：分析可能性 本步要說明一個(gè)潛在的脆弱性在相關(guān)威脅環(huán)境下被攻擊的可能性，下列支配因素應(yīng)該在本步中考慮： 威脅源的動(dòng)機(jī)和能力。 脆弱性的性質(zhì)。 安全防護(hù)措施的有效性。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),一個(gè)潛在的脆弱性被一個(gè)給定威脅源攻擊的可能性可以用高、中、低來表示。下表描述了這三個(gè)可能性級(jí)別。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟6：分析影響 度量風(fēng)險(xiǎn)級(jí)別的下一主要步驟便是確定對(duì)脆弱性的一次成功攻擊所產(chǎn)生的負(fù)面影響。 對(duì)安全事件的負(fù)面影響可以用完整性、可用性和保密性三個(gè)安全屬性的損失或降低來描述。,2.1 信息安

19、全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),可以通過定性手段進(jìn)行度量，例如用高、中、低影響等術(shù)語來描述。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟7：確定風(fēng)險(xiǎn) 確定一個(gè)特定的威脅/脆弱性對(duì)帶來的風(fēng)險(xiǎn)時(shí)，可以將其表示為以下參數(shù)構(gòu)成的函數(shù)： 給定的威脅源試圖攻擊一個(gè)給定的系統(tǒng)脆弱性的可能性； 一個(gè)威脅源成功攻擊了這個(gè)系統(tǒng)的脆弱性后所造成的影響的程度； 規(guī)劃中或現(xiàn)有的安全防護(hù)措施對(duì)于降低或消除風(fēng)險(xiǎn)的充分性。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟7.1 風(fēng)險(xiǎn)級(jí)別矩陣 將威脅的可能性（例如概率）及威脅影響的級(jí)別相乘后便得出了最終的使命風(fēng)險(xiǎn)。下面是一個(gè)關(guān)于威脅的可能性（高、中、低）和威脅影響（高、中、低）的33矩陣。

20、 根據(jù)現(xiàn)場(chǎng)要求和風(fēng)險(xiǎn)評(píng)估要求的粒度，有些情況下也可能使用44或55的矩陣。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),下表的矩陣范例描述了高、中或低的總體風(fēng)險(xiǎn)級(jí)別是如何得出的。這種風(fēng)險(xiǎn)級(jí)別或等級(jí)的確定可能是主觀性的。這種判斷的基本原理可以用每個(gè)可能性級(jí)別上分配的概率值和每個(gè)影響級(jí)別上分配的影響值來解釋。例如： 賦給每個(gè)威脅可能性級(jí)上的概率為1.0時(shí)表示高，0.5表示中，0.1表示低； 賦給每個(gè)影響級(jí)上的值為100時(shí)表示高，50表示中，10表示低。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),風(fēng)險(xiǎn)尺度：高（50100）；中（1050）；低（110）,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟7.2 風(fēng)險(xiǎn)級(jí)

21、別描述 下表描述了上述矩陣中的風(fēng)險(xiǎn)級(jí)別。這種表示為高、中、低的風(fēng)險(xiǎn)尺度代表了如果給定的脆弱性被利用來攻擊時(shí)，信息系統(tǒng)、設(shè)施或流程可能暴露出的風(fēng)險(xiǎn)程度或級(jí)別。風(fēng)險(xiǎn)尺度也表示了高級(jí)管理人員和系統(tǒng)擁有者對(duì)每種風(fēng)險(xiǎn)級(jí)別必須采取的行動(dòng)。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟8：建議安全防護(hù)措施 在這一步里，將針對(duì)單位的運(yùn)行提出可用來控制已識(shí)別出的風(fēng)險(xiǎn)的安全防護(hù)措施。,2.1 信息安全風(fēng)險(xiǎn)評(píng)估的過程(續(xù)),步驟9：記錄評(píng)估結(jié)果 一旦風(fēng)險(xiǎn)評(píng)估全部結(jié)束（威脅源和系統(tǒng)脆弱性已經(jīng)被識(shí)別出來，風(fēng)險(xiǎn)也得到了評(píng)估，安全防護(hù)措施建議也已經(jīng)提出），該過程的結(jié)果應(yīng)該被記錄到正式的報(bào)

22、告或簡(jiǎn)報(bào)里。,風(fēng)險(xiǎn)評(píng)估過程結(jié)束！,2.2 信息安全風(fēng)險(xiǎn)處理的過程,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟1: 對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序 基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，對(duì)風(fēng)險(xiǎn)處理的實(shí)現(xiàn)行動(dòng)進(jìn)行優(yōu)先級(jí)排序。在分配資源時(shí)，標(biāo)有不可接受的高等級(jí)（例如被定義為“非常高”或“高”風(fēng)險(xiǎn)級(jí)的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)應(yīng)該最優(yōu)先。這些脆弱性/威脅對(duì)需要采取立即糾正行動(dòng)以保護(hù)單位的利益和使命。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟2: 評(píng)估所建議的安全選項(xiàng) 風(fēng)險(xiǎn)評(píng)估過程中建議的安全防護(hù)措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合和最可行的。在這一步中，要對(duì)所建議的安全防護(hù)措施的可行性（如兼容性、用戶接受程度）和有

23、效性（如保護(hù)程度和風(fēng)險(xiǎn)控制的級(jí)別）進(jìn)行分析。目的是選擇出最適當(dāng)?shù)陌踩雷o(hù)措施，使風(fēng)險(xiǎn)降至最低。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟3: 實(shí)施成本效益分析 為了幫助管理層做出決策并找出成本有效性最好的安全控制，要實(shí)施成本效益分析。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟4: 選擇安全防護(hù)措施 在成本效益分析的基礎(chǔ)上，管理人員應(yīng)確定成本有效性最好的安全防護(hù)措施來降低單位的風(fēng)險(xiǎn)。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟5: 責(zé)任分配 遴選出那些擁有合適的專長(zhǎng)和技能，可實(shí)現(xiàn)所選安全防護(hù)措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟6:

24、制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃 在本步中將制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃。,2.2 信息安全風(fēng)險(xiǎn)處理的過程（續(xù)）,步驟7: 實(shí)現(xiàn)所選擇的安全防護(hù)措施 根據(jù)各自情況的不同，所實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)但不會(huì)根除風(fēng)險(xiǎn)。實(shí)現(xiàn)安全防護(hù)措施后仍然存在的風(fēng)險(xiǎn)為殘余風(fēng)險(xiǎn)。,風(fēng)險(xiǎn)處理過程結(jié)束！,風(fēng)險(xiǎn)評(píng)估與管理,與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相關(guān)的概念解析 信息安全風(fēng)險(xiǎn)管理的一般過程 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問題,3 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問題,3.1 風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任 3.2 風(fēng)險(xiǎn)評(píng)估方法 3.3 風(fēng)險(xiǎn)評(píng)估工具 3.4 風(fēng)險(xiǎn)評(píng)估模式分析 3.5 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、認(rèn)證認(rèn)可的關(guān)系,3.1 風(fēng)險(xiǎn)評(píng)估的腳色和責(zé)任,信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的參與角色一般有主管機(jī)關(guān)、信息系統(tǒng)擁有者、信息系統(tǒng)承建者、信息系統(tǒng)安全評(píng)估服務(wù)機(jī)構(gòu)、信息系統(tǒng)的關(guān)聯(lián)者（即因信息系統(tǒng)互聯(lián)、信息交換和共享、系統(tǒng)采購(gòu)等行為與該系統(tǒng)發(fā)生關(guān)聯(lián)的機(jī)構(gòu)）。,基本風(fēng)險(xiǎn)評(píng)估方法 基本的風(fēng)險(xiǎn)評(píng)估是只利用直接和簡(jiǎn)單的方法達(dá)到基本的安全水平，就能滿足組織及其業(yè)務(wù)環(huán)境的所有要求。 詳細(xì)風(fēng)險(xiǎn)評(píng)估方法 詳細(xì)的風(fēng)險(xiǎn)評(píng)估就是對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)的識(shí)別與評(píng)價(jià)，詳細(xì)的風(fēng)險(xiǎn)評(píng)估結(jié)果被用于風(fēng)險(xiǎn)評(píng)估和安全控制措施的識(shí)別和選擇。,3.2 風(fēng)險(xiǎn)評(píng)估方法,3.2 風(fēng)險(xiǎn)評(píng)估方法(