05-ISO IEC 27001：2013-標(biāo)準(zhǔn)系列培訓(xùn)課程-信息安全風(fēng)險管理.ppt

1、,信息安全風(fēng)險管理,華夏認(rèn)證中心有限公司 China Certification Center Inc.,ISO/IEC 27001:2013課程,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,溝通 和 磋 商,監(jiān)視和評審,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,滿足？,風(fēng)險溝通 和 磋 商,風(fēng)險監(jiān)視和評審,風(fēng)險決策點(diǎn)1 評估滿足,風(fēng)險決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險評估過程,ISO 31000 風(fēng)險評估過程,信息安全風(fēng)險管理過程,信息安全風(fēng)險管理過程,風(fēng)

2、險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,溝通 和 磋 商,監(jiān)視和評審,9. 績效評價 ISO/IEC 27001:2013,6.1.3. 信息安全風(fēng)險處置 ISO/IEC 27001:2013,6.1.2. 信息安全風(fēng)險評估 ISO/IEC 27001:2013,7. 支持 ISO/IEC 27001:2013,4. 組織背景 ISO/IEC 27001:2013,信息安全風(fēng)險管理過程,ISMS的調(diào)整和 風(fēng)險管理過程,信息安全風(fēng)險管理,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,滿足？,風(fēng)險溝通 和 磋 商,風(fēng)

3、險監(jiān)視和評審,風(fēng)險決策點(diǎn)1 評估滿足,風(fēng)險決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險管理過程,確定環(huán)境信息,外部環(huán)境信息 內(nèi)部環(huán)境信息,輸入,基本準(zhǔn)則說明 范圍和邊界說明 組織架構(gòu)說明,輸出,確定基本準(zhǔn)則 確定范圍和邊界 確定組織架構(gòu),過程,實(shí)施指南,確定信息安全風(fēng)險評估的宗旨： 支持ISMS 符合法律和盡職調(diào)查的證據(jù) 準(zhǔn)備業(yè)務(wù)連續(xù)性計劃 準(zhǔn)備事件響應(yīng)計劃 描述某個產(chǎn)品、服務(wù)或機(jī)制對信息安全要求,確定環(huán)境信息,外部環(huán)境信息 external context 組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。 注：外部環(huán)境可包括： 文化、社會、政治、法律法規(guī)、財政金融、技術(shù)

4、、經(jīng)濟(jì)、自然和競爭環(huán)境，無論國際、國家、區(qū)域或地方 對組織目標(biāo)具有影響的主要驅(qū)動和趨勢。 與外部利益相關(guān)方的關(guān)系和其感受和價值觀。 ISO 導(dǎo)則 73:2009,定義 ,內(nèi)部環(huán)境信息 internal context 組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。 注：內(nèi)部狀況可包括： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標(biāo)、以及實(shí)現(xiàn)它們的戰(zhàn)略； 以資源和知識來理解的能力（如資本、時間、人員、過程、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流和決策過程（正式和非正式的）； 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價值觀； 組織的文化； 標(biāo)準(zhǔn)、指南和組織采用的模式； 合同關(guān)系的形式和范圍 ISO 導(dǎo)則 73

5、:2009,定義 ,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險管理方法 根據(jù)風(fēng)險管理的范圍和目標(biāo)的不同，可能采用不同的方法。 對于每一循環(huán)，所采用的方法也可能不同。 一個合適的風(fēng)險管理方法應(yīng)該選擇或開發(fā)基本準(zhǔn)則，如風(fēng)險評價準(zhǔn)則、影響準(zhǔn)則、風(fēng)險接受準(zhǔn)則。,確定環(huán)境信息,風(fēng)險評估技術(shù),確定環(huán)境信息,風(fēng)險評估技術(shù)的特征,確定環(huán)境信息,風(fēng)險評估技術(shù)的特征,確定環(huán)境信息,風(fēng)險評估技術(shù)的特征,確定環(huán)境信息,頭腦風(fēng)暴法,確定環(huán)境信息,風(fēng)險矩陣法,確定環(huán)境信息,風(fēng)險矩陣法,確定環(huán)境信息,consequence （ 后果）： outcom

6、e of an event (3.3) affecting objectives ISO Guide 73:2009 event （事態(tài)）： occurrence or change of a particular set of circumstances ISO Guide 73:2009 An event can be defined as any detectable or discernible occurrence that has significance for the management of the IT Infrastructure or the delivery of

7、IT service and evaluation of the impact a deviation might cause to the services. ITIL V3 Events are typically notifications created by an IT service, Configuration Item (CI) or monitoring tool. ITIL V3 incident（事件）： An unplanned interruption to an IT service or reduction in the quality of an IT serv

8、ice. Failure of a configuration item that has not yet impacted service is also an incident, for example failure of one disk from a mirror set. ITIL V3,基本概念,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險評價準(zhǔn)則 開發(fā)風(fēng)險評價準(zhǔn)則應(yīng)考慮如下內(nèi)容： 業(yè)務(wù)信息過程的戰(zhàn)略價值 相關(guān)信息資產(chǎn)的危險程度 法律法規(guī)的要求和合同的義務(wù) 運(yùn)營和業(yè)務(wù)可用性、保密性、完整性的重要程度 利益相關(guān)方的期望和認(rèn)知

9、，以及對信譽(yù)和名聲的負(fù)面影響,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),影響準(zhǔn)則 開發(fā)影響準(zhǔn)則應(yīng)考慮如下內(nèi)容，并以信息安全事態(tài)造成的對組織損害程度或成本的方式來說明： 受影響資產(chǎn)的分類級別 信息安全的違背（如保密性、完整性和可用性的喪失） 運(yùn)行的受損（內(nèi)部或第三方的） 業(yè)務(wù)或財務(wù)價值的損失 對計劃和最后期限的破壞 聲譽(yù)的損失 對法律法規(guī)或合同要求的違背,確定環(huán)境信息,潛在后果/影響定義示例：,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險接受準(zhǔn)則 風(fēng)險接受準(zhǔn)則的常常依賴于組織的方針、

10、目的、目標(biāo)以及利益相關(guān)方的利益。,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險接受準(zhǔn)則 開發(fā)風(fēng)險可接受準(zhǔn)則時，應(yīng)該考慮以下方面： 風(fēng)險接受準(zhǔn)則可以包括帶有風(fēng)險期望目標(biāo)級別的多個閾值，但在確定的情形下，提交給高層管理者接受的風(fēng)險可能超出該級別 風(fēng)險可接受準(zhǔn)則可以用估算收益（或業(yè)務(wù)收益）與估算風(fēng)險的比值來描述 對不同類型的風(fēng)險可以采用不同的風(fēng)險接受準(zhǔn)則，例如，導(dǎo)致對法律法規(guī)不符合的風(fēng)險可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險 風(fēng)險接受準(zhǔn)則可以包括下一步的補(bǔ)充處置要求，例如，如果認(rèn)可或承諾在確定的時間內(nèi)將采取行動以將風(fēng)險降到可

11、接受級別，則風(fēng)險可以被接受,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險接受準(zhǔn)則 風(fēng)險接受準(zhǔn)則可能因預(yù)計風(fēng)險將多長時間存在而不同，例如風(fēng)險可能與一個臨時或短期活動相關(guān)。設(shè)定風(fēng)險接受準(zhǔn)則時，應(yīng)該考慮： 業(yè)務(wù)準(zhǔn)則 法律法規(guī)方面 運(yùn)營 技術(shù) 財務(wù) 社會和人為因素,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),范圍和邊界 需要定義信息安全風(fēng)險管理過程的范圍，以保證在風(fēng)險評估過程中考慮到所有相關(guān)資產(chǎn)。 對任何排除在范圍之外的，都應(yīng)該提供正當(dāng)?shù)睦碛伞?風(fēng)險管理范圍可能是一個IT應(yīng)用、IT基礎(chǔ)設(shè)施、

12、一個業(yè)務(wù)過程或組織的某個界定部分。 需要定義邊界以處理在邊界處呈現(xiàn)的風(fēng)險。,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),范圍和邊界 在定義范圍和邊界時，考慮以下信息： 組織的戰(zhàn)略經(jīng)營目標(biāo)、戰(zhàn)略和策略 業(yè)務(wù)過程 組織的職能和結(jié)構(gòu) 適用于組織的法律法規(guī)和合同義務(wù)的要求 組織的信息安全方針 組織風(fēng)險管理的整體方法 信息資產(chǎn) 組織的位置及其地理特性 影響組織的約束條件 利益相關(guān)方的期望 社會文化環(huán)境 接口（與環(huán)境交換信息）,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險管理方法 風(fēng)險評價準(zhǔn)則 影響準(zhǔn)則 風(fēng)險接受準(zhǔn)則 范圍和邊界 組織架構(gòu),組織架構(gòu) 設(shè)置和維持信息安全

13、風(fēng)險管理過程的組織架構(gòu)和職責(zé)，并由管理者批準(zhǔn)。 下面是信息安全風(fēng)險管理過程組織架構(gòu)的主要角色和職責(zé)： 開發(fā)適合組織的信息安全風(fēng)險管理過程 識別和分析利益相關(guān)方 定義組織內(nèi)、外部各方的角色和職責(zé) 在組織和相關(guān)利益方之間建立必要的聯(lián)系，如組織高風(fēng)險管理職能的接口（如運(yùn)營風(fēng)險管理），以及與其它項(xiàng)目或活動之間的接口 定義決策升級路徑 說明需要保存的記錄,風(fēng)險評估,基本準(zhǔn)則 范圍和邊界 組織架構(gòu),輸入,已按優(yōu)先級排序的風(fēng)險清單,輸出,識別風(fēng)險 分析風(fēng)險 評價風(fēng)險,過程,實(shí)施指南,確定信息資產(chǎn)價值 識別適用的威脅 識別存在或可能存在的脆弱點(diǎn) 識別現(xiàn)有控制措施及對已識別風(fēng)險的影響 確定潛在后果 風(fēng)險優(yōu)先級排

14、序 風(fēng)險評估通常會進(jìn)行兩個或多個循環(huán) 先進(jìn)行高級別風(fēng)險評估識別潛在高風(fēng)險 后對潛在高風(fēng)險做進(jìn)一步的詳細(xì)考慮,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,識別風(fēng)險源、影響區(qū)域、事件（包括環(huán)境變化）以及原因和潛在后果。 目的是產(chǎn)生基于哪些可能產(chǎn)生、增強(qiáng)、阻礙、加快或推遲目標(biāo)實(shí)現(xiàn)的事件的風(fēng)險的綜合表格。 包括其風(fēng)險源是否在組織控制下的風(fēng)險，即使風(fēng)險源或原因不明顯也要識別。 包括考查特定后果的直接影響，包括聯(lián)鎖和累積影響。 包括識別什么可能發(fā)生，什么后果可能出現(xiàn)的可能原因和場景。 應(yīng)用適合的目標(biāo)、能力及所面臨風(fēng)險的風(fēng)險識別工具和技術(shù)。 在識別風(fēng)險時，最新的信息是重要的，包括可能的適當(dāng)背景信息。 具有適當(dāng)知

15、識的人員宜參與到識別風(fēng)險中。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,環(huán)境信息確定的范圍和邊界 由所有者、位置和功能等構(gòu)成的清單,輸入,資產(chǎn)清單 與資產(chǎn)相關(guān)的業(yè)務(wù)過程清單及相互關(guān)系,輸出,在范圍內(nèi)識別信息資產(chǎn),活動,實(shí)施指南,資產(chǎn)是對組織有價值的任何東西 每個資產(chǎn)要有資產(chǎn)所有者，并安排職責(zé)和責(zé)任 資產(chǎn)所有者可能并不對資產(chǎn)擁有所有權(quán)，但對資產(chǎn)的產(chǎn)生、開發(fā)、維護(hù)、使用有適當(dāng)保護(hù)責(zé)任,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資

16、產(chǎn)分類舉例： 基本資產(chǎn) 業(yè)務(wù)過程或活動 信息,支持性資產(chǎn)（基本資產(chǎn)所依賴的范圍） 硬件 軟件 網(wǎng)絡(luò) 人員 場所 組織架構(gòu),信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,信息資產(chǎn)分類舉例,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,業(yè)務(wù)與支持性資產(chǎn)之間的關(guān)系 OBASHI方法論評估業(yè)務(wù)運(yùn)作的以下六個“層次”,前兩個層次研究業(yè)務(wù)運(yùn)作的方式，后四個層次研究支持這些運(yùn)作活動的 IT 資產(chǎn)： Ownership（利益相關(guān)者） Business Process（業(yè)務(wù)流程） Application（應(yīng)用程序） System（操作系統(tǒng)） Hardware（硬件） Infra

17、structure（基礎(chǔ)架構(gòu)）,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,所有權(quán),業(yè)務(wù)流程,應(yīng)用程序,系統(tǒng),硬件,基礎(chǔ)架構(gòu),產(chǎn)品與價格,創(chuàng)建訂單,RoodMan SafeSeller,價格,訂單表,產(chǎn)品,Microsoft SQL Server 2005,客戶訂單處理,銷售經(jīng)理,Windows XP,服務(wù)器,3G Modem,網(wǎng)絡(luò)安全,訂單執(zhí)行,發(fā)票生成,IT經(jīng)理,供應(yīng)總監(jiān),財務(wù)總監(jiān),軟防火墻,QL Server,ABC Accounts,Linux,W 2000,W S 2003,硬防火墻,服務(wù)器,服務(wù)器,新訂單,發(fā)票生成,交換機(jī),主干網(wǎng),DMZ

18、交換機(jī),Modem,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,Ownership（利益相關(guān)者） Business Process（業(yè)務(wù)流程） Application（應(yīng)用程序） System（操作系統(tǒng)） Hardware（硬件） Infrastructure（基礎(chǔ)架構(gòu)）,信息技術(shù)服務(wù)生命周期（規(guī)劃、建設(shè)、運(yùn)維）,OBASHI模型,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,服務(wù),服務(wù)業(yè)務(wù),應(yīng)用系統(tǒng),通用軟件,硬件設(shè)備,物理位置,I

19、T區(qū)域,網(wǎng)絡(luò)設(shè)施,生產(chǎn),災(zāi)備,保險類,投資類,核心類,輔助類,內(nèi)部管理類,操作系統(tǒng),中間件,數(shù)據(jù)庫,存儲,主機(jī),負(fù)載均衡,總部,分支機(jī)構(gòu),接入?yún)^(qū),核心區(qū),辦公區(qū),路由器,交換機(jī),防火墻,測試,基礎(chǔ)設(shè)施,電源,空調(diào),客服類,數(shù)據(jù)中心,安防,機(jī)房位置,機(jī)房1,機(jī)房3,機(jī)房2,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,事件評審的結(jié)果 資產(chǎn)所有者、使用者 外部提供的威脅清單 其他來源,輸入,包含威脅類型和威脅來源的威脅清單,輸出,識別威脅和威脅來源,活動,實(shí)施指南,威脅是對信息、過程和系統(tǒng)等資產(chǎn)構(gòu)成的潛在損害，由此組織

20、帶來的損害 威脅可能是自然的或人為的，也可能是意外的或故意的，也可能是組織內(nèi)部的或外部的 威脅類型可能是非授權(quán)行為、物理損壞和技術(shù)失效 威脅是持續(xù)變化的，特別是當(dāng)業(yè)務(wù)環(huán)境或信息系統(tǒng)發(fā)生變化時,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,威脅等級示例,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分

21、析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,控制措施文檔 風(fēng)險處置實(shí)施計劃,輸入,所有現(xiàn)有或計劃的控制措施清單 控制措施實(shí)施和使用狀況,輸出,識別現(xiàn)有控制措施 識別已計劃控制措施,活動,實(shí)施指南,識別現(xiàn)有控制措施時應(yīng)檢查其工作有效性 控制措施沒有預(yù)期工作，會形成脆弱點(diǎn) 估算控制措施效果的方法是，看它怎樣降低威脅發(fā)生的可能性、消除暴露的脆弱點(diǎn)或降低事件的影響 按照風(fēng)險處置計劃將要實(shí)施的控制措施應(yīng)該視同已經(jīng)實(shí)施的控制措施,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別

22、,風(fēng)險優(yōu)先級,已知的威脅清單 已知的資產(chǎn)清單 現(xiàn)有的控制措施清單,輸入,與資產(chǎn)、威脅和控制措施相關(guān)的脆弱點(diǎn)清單 待評審的與已識別威脅不相關(guān)的脆弱點(diǎn)清單,輸出,識別可被威脅利用的資產(chǎn)的脆弱點(diǎn) 識別可對組織造成損害的脆弱點(diǎn),活動,實(shí)施指南,脆弱點(diǎn)的存在本身不會形成損害，它需要被某個威脅利用 如果脆弱點(diǎn)沒有對應(yīng)的威脅，則可不需要實(shí)施控制措施，但要監(jiān)視其變化 控制措施錯誤實(shí)施、失效或錯誤使用本身也是一個脆弱點(diǎn) 如果威脅沒有對應(yīng)的脆弱點(diǎn)，也不會導(dǎo)致風(fēng)險發(fā)生 需要考慮不同來源的脆弱點(diǎn)，內(nèi)在的或外來的,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)

23、險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,技術(shù)脆弱性評估方法（信息系統(tǒng)測試） 漏洞自動掃描工具 用于針對已知的脆弱服務(wù)，掃描一組主機(jī)或網(wǎng)絡(luò)（如系統(tǒng)允許匿名的文件傳輸協(xié)議(FTP)，郵件轉(zhuǎn)發(fā)）。 應(yīng)該注意，自動識別的某些潛在脆弱點(diǎn)在系統(tǒng)環(huán)境背景下可能并不是真正的脆弱點(diǎn)。例如，某些掃描工具在對潛在脆弱點(diǎn)進(jìn)行定級時，并不考慮場所環(huán)境和要求。 自動掃描軟件標(biāo)識的某些脆弱點(diǎn)對于特定場所可能并不是脆弱點(diǎn)，而且因環(huán)境要求必須如此配置。 因此，本測試方法可能報告虛假脆弱點(diǎn)。 安全測試和評價（STE） 是在風(fēng)險評估過程中識別ICT系統(tǒng)脆弱點(diǎn)的另外一個方法。 它包括開發(fā)和執(zhí)行一個測試計劃（如，測

24、試腳本、測試過程和預(yù)期的測試結(jié)果）。 系統(tǒng)安全測試的目的是測試已經(jīng)應(yīng)用到某個運(yùn)行環(huán)境中的ICT系統(tǒng)的安全控制措施的有效性。 目標(biāo)是保證應(yīng)用的控制措施滿足已認(rèn)可的軟、硬件安全規(guī)范，滿足組織的安全方針或行業(yè)標(biāo)準(zhǔn)。,滲透測試 用作安全控制措施評審的補(bǔ)充，以保證ICT系統(tǒng)的不同方面都是安全的。 滲透測試可用于評估一個信息和通信技術(shù)系統(tǒng)防止企圖繞過系統(tǒng)安全措施的能力。 目的是從威脅源的視點(diǎn)來測試ICT系統(tǒng)，以識別ICT系統(tǒng)保護(hù)方案的潛在失效點(diǎn)。 代碼評審 最為徹底（也可能是最為昂貴）的漏洞評估方式。這些安全測試的結(jié)果將有助于識別系統(tǒng)的脆弱點(diǎn)。 特別需要注意，滲透工具和技術(shù)可能提供虛假的結(jié)果，除非脆弱點(diǎn)被

25、成功利用。 為利用特定的脆弱點(diǎn)，需要知道被測試系統(tǒng)的系統(tǒng)、應(yīng)用、補(bǔ)丁的準(zhǔn)確設(shè)置。 如果在進(jìn)行測試時，不知道這些數(shù)據(jù)，可能難以成功利用特定的脆弱點(diǎn)（例如，獲取遠(yuǎn)程逆轉(zhuǎn)界面）；然而，還是可能導(dǎo)致崩潰或重新啟動進(jìn)程和系統(tǒng)。在這種情形，應(yīng)該認(rèn)為被測試對象是存在脆弱點(diǎn)的。 方法包括以下活動： 人員和用戶訪談 調(diào)查問卷 物理檢查 分析文件,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,資產(chǎn)清單 業(yè)務(wù)過程清單 威脅和脆弱點(diǎn)清單 資產(chǎn)相關(guān)關(guān)系,輸

26、入,資產(chǎn)和業(yè)務(wù)過程相關(guān)的事件場景清單,輸出,識別資產(chǎn)喪失保密性、完整性和可用性的后果,活動,實(shí)施指南,后果可能是有效性的喪失、不利的運(yùn)行環(huán)境、業(yè)務(wù)的喪失、名譽(yù)的損失和損害等 事件場景是對在信息安全事件中威脅利用某個特定的脆弱點(diǎn)或一組脆弱點(diǎn)的描述 根據(jù)在確定環(huán)境信息活動中所定義的影響準(zhǔn)則，確定事件場景的影響 按資產(chǎn)的財務(wù)成本和資產(chǎn)破壞或損壞后帶來的業(yè)務(wù)影響對資產(chǎn)賦值,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,風(fēng)險分析包括考慮風(fēng)險的原因和來源，以及所帶來的正面和負(fù)面的后果及這些后果發(fā)生的可能性。 現(xiàn)有的控制措施和其效果和效率也宜被考慮在內(nèi)。 考慮不同風(fēng)險和其源的相互依賴關(guān)系。 依據(jù)環(huán)境條件，風(fēng)險分析

27、可以定性的、半定量或定量的，也可以是組合的方式。 后果和其可能性可以通過模擬一個或一系列事件的結(jié)果，或由實(shí)驗(yàn)研究或可用數(shù)據(jù)推斷確定。 后果可基于有形和無形的影響表述。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,定性風(fēng)險分析： 定性風(fēng)險采用級別分級屬性（如低、中、高）來描述潛在后果的嚴(yán)重性和潛在后果發(fā)生的可能性。 定性風(fēng)險分析的優(yōu)點(diǎn)是易于所有相關(guān)人員的理解，同時其弱點(diǎn)是級別選擇對主觀判斷的依賴。 可以對級別進(jìn)行修訂或調(diào)整，以適應(yīng)環(huán)境，并為不同的風(fēng)險采用不同的描述。 定性風(fēng)險分析可以用于： 作為最初的篩選活動，以識

28、別需要進(jìn)一步具體分析的風(fēng)險 當(dāng)定性分析適合于決策時 當(dāng)量化數(shù)據(jù)不足以進(jìn)行定量估算時 定性分析應(yīng)該使用可用的真實(shí)的信息和數(shù)據(jù)。,定量風(fēng)險分析： 定量風(fēng)險分析通過不同來源的數(shù)據(jù)，使用數(shù)字化的級別來描述后果和可能性（而不是定性風(fēng)險分析中所使用的描述性級別）。 分析的質(zhì)量依賴于量化數(shù)字的準(zhǔn)確性和完整性，以及所使用模型的有效性。 在很多情況下，定量風(fēng)險分析使用歷史事件數(shù)據(jù)， 優(yōu)勢是其直接與信息安全目標(biāo)和組織所關(guān)心的問題相關(guān)。 不足是缺乏新的風(fēng)險或信息安全弱點(diǎn)的數(shù)據(jù)。 當(dāng)無法獲得真實(shí)和可審計數(shù)據(jù)時，將顯示定量方法的不足，因?yàn)檫@將導(dǎo)致風(fēng)險評估準(zhǔn)確性和價值的假象。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果

29、嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,已識別的事件場景，包括：識別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對資產(chǎn)或業(yè)務(wù)過程的后果,輸入,用資產(chǎn)和影響準(zhǔn)則表示的事件場景評定后果的清單,輸出,考慮違背信息安全，喪失資產(chǎn)的（保密性、完整性、可用性）的基礎(chǔ)上），評估可能或?qū)嶋H導(dǎo)致的業(yè)務(wù)的影響,活動,實(shí)施指南,識別所有資產(chǎn)并評審后，在評估后果的同時給資產(chǎn)賦值 通過以下兩種措施來確定資產(chǎn)價值： 資產(chǎn)的替代價值：恢復(fù)清理和替換信息所需的成本，以及 資產(chǎn)喪失或損壞的業(yè)務(wù)后果：如信息或其他信息

30、資產(chǎn)的泄密、修改、不可用和/或破壞帶來的潛在業(yè)務(wù)負(fù)面影響和/或法律后果 可以從業(yè)務(wù)影響分析來確定賦值,風(fēng)險評估,潛在后果/影響定義示例：,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,已識別的事件場景，包括：識別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對資產(chǎn)或業(yè)務(wù)過程的后果 現(xiàn)有和計劃的控制措施清單，以及控制措施有效性、實(shí)施和使用狀態(tài),輸入,事件場景的可能性（定性的或定量的）,輸出,評估事件場景的可能性,活動,實(shí)施指南,識別事件場景后，需要利用定性或定量分析技術(shù)對每一場景的可能性和產(chǎn)生的影響進(jìn)行評估 考慮威脅發(fā)生經(jīng)常性和脆弱

31、點(diǎn)被利用的容易度,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,事件發(fā)生可能性示例,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,事件場景清單產(chǎn)、對資產(chǎn)或業(yè)務(wù)過程的后果和可能性,輸入,分配有風(fēng)險級別數(shù)值的風(fēng)險清單,輸出,對事件場景確定風(fēng)險級別,活動,實(shí)施指南,對風(fēng)險的可能性和后果進(jìn)行賦值（定性或量） 估計的風(fēng)險是某個事件場景的可能性及其后果的組合,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性

32、,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,組合風(fēng)險矩陣,風(fēng)險評估,定性風(fēng)險矩陣,風(fēng)險評估,定量風(fēng)險矩陣,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,風(fēng)險評價的目的是，基于風(fēng)險分析的結(jié)果，幫助做出有關(guān)風(fēng)險需要處理和處理實(shí)施優(yōu)先的決策。 風(fēng)險評價包括將分析過程中確定的風(fēng)險程度與在明確環(huán)境時建立的風(fēng)險準(zhǔn)則進(jìn)行比較。 決策宜考慮更為寬泛風(fēng)險含義，包括考慮風(fēng)險獲益組織外的團(tuán)體對風(fēng)險的容忍性。 決策宜依據(jù)法律法規(guī)和其他要求做出。 在某些情況下，風(fēng)險評價可導(dǎo)致對決策的進(jìn)一步分析。 風(fēng)險評價也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險的決策。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別

33、,風(fēng)險優(yōu)先級,風(fēng)險評價,風(fēng)險分析,風(fēng)險識別,風(fēng)險評估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險級別,風(fēng)險優(yōu)先級,分配有風(fēng)險級別數(shù)值的風(fēng)險清單 風(fēng)險評價準(zhǔn)則,輸入,將事件場景導(dǎo)致的風(fēng)險按風(fēng)險評價進(jìn)行優(yōu)先級排序的風(fēng)險清單,輸出,風(fēng)險級別與風(fēng)險評價準(zhǔn)則和風(fēng)險接受準(zhǔn)則進(jìn)行比較,活動,實(shí)施指南,用于制定決策的風(fēng)險評價準(zhǔn)則應(yīng)該與已定義的內(nèi)外部風(fēng)險管理環(huán)境信息相一致，并考慮組織的目標(biāo)和利益相關(guān)方的觀點(diǎn)。 在風(fēng)險評價活動中采取的決策主要基于風(fēng)險可接受級別。 同時應(yīng)該考慮后果、可能性以及風(fēng)險識別和分析的可信程度。 多個低或中風(fēng)險的組合，可能導(dǎo)致更高的綜合風(fēng)險，并需要進(jìn)行相應(yīng)的處理。,

34、信息安全風(fēng)險管理,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,滿足？,風(fēng)險溝通 和 磋 商,風(fēng)險監(jiān)視和評審,風(fēng)險決策點(diǎn)1 評估滿足,風(fēng)險決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險管理過程,風(fēng)險處置,已按風(fēng)險評價準(zhǔn)則進(jìn)行風(fēng)險優(yōu)先級排序的風(fēng)險清單,輸入,風(fēng)險處置計劃 殘余風(fēng)險報告,輸出,選擇風(fēng)險處置選項(xiàng) 制定風(fēng)險處置計劃,過程,實(shí)施指南,風(fēng)險處置選項(xiàng)應(yīng)基于風(fēng)險評估的結(jié)果和實(shí)施這些選項(xiàng)的預(yù)計成本及預(yù)期收益來選擇 如果某一選項(xiàng)可以通過相對較低的花費(fèi)大幅度降低風(fēng)險，則應(yīng)該實(shí)施該選項(xiàng) 管理者應(yīng)該考慮罕見

35、但嚴(yán)重的風(fēng)險，在這種情形下，可能需要實(shí)施控制措施，而不會嚴(yán)格按經(jīng)濟(jì)性進(jìn)行判斷 風(fēng)險處置計劃應(yīng)該清晰定義所列出的單個需要實(shí)施的風(fēng)險處置項(xiàng)的優(yōu)先級，以及實(shí)施的期限,風(fēng)險處置,風(fēng)險處置活動,風(fēng) 險 處 置,風(fēng)險處置選項(xiàng),風(fēng)險降低,令人滿意的處置,風(fēng)險保持,風(fēng)險回避,風(fēng)險轉(zhuǎn)移,殘余風(fēng)險,滿意的評估,風(fēng)險評估結(jié)果,風(fēng)險決策點(diǎn)1,風(fēng)險決策點(diǎn)2,風(fēng)險處置,風(fēng)險處理方案不必互相排斥或適宜所有情況。方案可以包括以下內(nèi)容: 通過決定不開展或停止產(chǎn)生風(fēng)險的活動，來規(guī)避風(fēng)險； 為尋求機(jī)會，接受或提高風(fēng)險； 消除風(fēng)險源； 改變可能性； 改變后果； 與另一方或多方共擔(dān)風(fēng)險（包括合約和風(fēng)險融資）； 通過有事實(shí)依據(jù)的決策，保

36、留風(fēng)險。,風(fēng)險處理包括選擇一種或幾種修正風(fēng)險的方案，以及實(shí)施那些方案。 風(fēng)險處理包括了一個循環(huán)過程： 評價風(fēng)險處理； 確定殘留風(fēng)險程度是否可容許； 如果不可容許，產(chǎn)生新的風(fēng)險處理； 評價該處理的有效性。,風(fēng)險處置,風(fēng)險保持：也叫接受風(fēng)險，根據(jù)風(fēng)險評價，決定不采取進(jìn)一步的活動而保持風(fēng)險。接受準(zhǔn)則。 風(fēng)險降低：也叫控制風(fēng)險，引進(jìn)、去除或修改控制措施，以至于殘余風(fēng)險能被再評估，成為可接受的。 措施選擇。 風(fēng)險回避：避免風(fēng)險，是直接消極或去除某些風(fēng)險，例如一個組織可以通過禁止網(wǎng)絡(luò)連接來避免遠(yuǎn)程攻擊；但是，不是所有的風(fēng)險都是可以消極避免，例如，一個專業(yè)的電子商務(wù)網(wǎng)站就不能通過禁止網(wǎng)絡(luò)連接來消除遠(yuǎn)程攻擊的

37、風(fēng)險。成本分擔(dān)。 風(fēng)險轉(zhuǎn)移：也叫轉(zhuǎn)移風(fēng)險，根據(jù)風(fēng)險評價結(jié)果，將風(fēng)險轉(zhuǎn)移到能最有效的管理這個特定風(fēng)險的其他方，例如，產(chǎn)品沒有出保質(zhì)期，這樣可用性面臨的風(fēng)險就部分地轉(zhuǎn)移給供應(yīng)商。機(jī)會效率。,風(fēng)險處置選項(xiàng),風(fēng)險處置,風(fēng)險控制,減少,降低,威脅,脆弱性,可能性,影響,預(yù)防性控制措施,補(bǔ)救性控制措施,形成,風(fēng)險,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險處置,什么是控制措施 管理風(fēng)險的方法。為達(dá)成組織目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險。 它們可以是行政、技術(shù)、管理、法律等方面的措施。 控制措施的分類： 預(yù)防性控制措施 檢查性控制措施 糾正性控制措施,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)

38、險處置,預(yù)防性控制措施：在問題發(fā)生前，并作出糾正 僅雇傭勝任的人員 職責(zé)分工 使用訪問控制軟件，只允許授權(quán)用戶訪問敏感文件 檢查性控制措施：檢查控制發(fā)生的錯誤、疏漏或蓄意行為 網(wǎng)絡(luò)通信過程中的Echo控制 內(nèi)部審計 糾正性控制措施：減少危害影響，修復(fù)檢查性控制發(fā)現(xiàn)的問題 意外處理計劃 備份流程 恢復(fù)運(yùn)營流程,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險處置,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,Information Security Incident 信息安全事件管理 BCM 業(yè)務(wù)連續(xù)性管理,Human 人員安全,Physical 物理安全,Information System

39、 系統(tǒng)獲得/開發(fā)/維護(hù),Operation 操作安全,Access Control 訪問控制 Access Control 訪問控制,Asset 資產(chǎn)管理 Organization 組織安全,Policy 方針目標(biāo),Compliance 合規(guī)性,Compliance 合規(guī)性,Compliance 合規(guī)性,Compliance 合規(guī)性,Communication 通信安全,Supplier 供應(yīng)關(guān)系,Cryptography 密碼學(xué),風(fēng)險處置,控制措施制定思路 決策層控制策略 管理層控制程序 執(zhí)行層控制制度 操作層控制記錄,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險處置,準(zhǔn)備和實(shí)施風(fēng)險處

40、置計劃 選擇最合適的風(fēng)險處理方案包括，針對以法律法規(guī)和諸如社會責(zé)任和自然環(huán)境保護(hù)的其他要求所獲得的利益，平衡成本和實(shí)施的工作量。決策也宜考慮可以批準(zhǔn)在經(jīng)濟(jì)層面上不合理的風(fēng)險處理的風(fēng)險，例如，嚴(yán)重的（高負(fù)面后果）但稀少（低可能性）的風(fēng)險。 風(fēng)險處理計劃的目的是將如何實(shí)施已選擇的處理措施形成文件。將要實(shí)施的風(fēng)險處理方案。處理計劃中提供的信息宜包括： 選擇風(fēng)險處理措施的原因，包括所期待獲得的效益； 負(fù)責(zé)改進(jìn)和實(shí)施計劃的人員； 建議的措施； 資源需求，包括緊急情況時； 績效測量和控制； 匯報及監(jiān)測要求； 時間和日程安排。 處理計劃宜組織管理過程整合并與適當(dāng)?shù)睦嫦嚓P(guān)方討論。 決策者和其他利益相關(guān)方宜意

41、識到風(fēng)險處理后殘留風(fēng)險的性質(zhì)和程度。殘留風(fēng)險宜形成文件并進(jìn)行監(jiān)測、評審，適當(dāng)時，進(jìn)一步處理。,信息安全風(fēng)險管理,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,滿足？,風(fēng)險溝通 和 磋 商,風(fēng)險監(jiān)視和評審,風(fēng)險決策點(diǎn)1 評估滿足,風(fēng)險決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險管理過程,風(fēng)險接受,風(fēng)險處置計劃 殘余風(fēng)險報告,輸入,未能滿足正常風(fēng)險接受準(zhǔn)則，但被接受的風(fēng)險清單，并附帶接受的理由,輸出,風(fēng)險接受決策 記錄風(fēng)險決策接受責(zé)任,過程,實(shí)施指南,風(fēng)險處置計劃應(yīng)該描述怎樣處置被評估的風(fēng)險以滿足風(fēng)

42、險接受準(zhǔn)則。 承擔(dān)責(zé)任的管理者對被提議的風(fēng)險處置計劃和隨之而來的殘余風(fēng)險的評審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件。 在某些情形，殘余風(fēng)險的級別可能不滿足風(fēng)險接受準(zhǔn)則，因?yàn)槟壳斑m用的準(zhǔn)則，沒有考慮到當(dāng)前的情形，可能修訂風(fēng)險接受準(zhǔn)則。,信息安全風(fēng)險管理,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,滿足？,風(fēng)險溝通 和 磋 商,風(fēng)險監(jiān)視和評審,風(fēng)險決策點(diǎn)1 評估滿足,風(fēng)險決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險管理過程,溝通與磋商,溝通與磋商 與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險管理過程所

43、有階段進(jìn)行。因此，溝通和協(xié)商計劃宜在早期制定。該計劃宜針對與風(fēng)險本身、風(fēng)險成因、風(fēng)險后果（如果掌握）以及處理風(fēng)險措施相關(guān)的問題。為確保實(shí)施風(fēng)險管理過程的職責(zé)明確，以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。 協(xié)商團(tuán)隊(duì)方法可以： 適當(dāng)?shù)貛椭鞔_狀況； 確保利益相關(guān)方的利益被理解和考慮； 幫助確保風(fēng)險充分地被識別； 將不同領(lǐng)域的專業(yè)知識一并用于分析風(fēng)險； 確保在界定風(fēng)險準(zhǔn)則和評定風(fēng)險時，不同的觀點(diǎn)被恰當(dāng)?shù)乜紤]； 確保認(rèn)同和支持處理計劃； 加強(qiáng)在風(fēng)險管理過程中的變更管理； 制定一個恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計劃。 與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對

44、風(fēng)險的感知，做出了對風(fēng)險的判斷。這些感知可以由于利益相關(guān)方的價值觀、需求、臆斷、概念和關(guān)注點(diǎn)的不同而變化。由于利益相關(guān)方的觀點(diǎn)會對決策產(chǎn)生重大影響，因此他們的感知以被識別、記錄、以及在決策過程中考慮。 溝通和協(xié)商宜提供真實(shí)的、相關(guān)的、準(zhǔn)確的、便于理解的交流信息，同時宜考慮到保密和個人誠實(shí)因素。,溝通與磋商,風(fēng)險管理活動中獲得的所有風(fēng)險信息,輸入,對組織信息安全風(fēng)險管理過程和結(jié)果的持續(xù)理解,輸出,在決策者和其他利益方之間交換或共享有關(guān)風(fēng)險的信息,過程,實(shí)施指南,風(fēng)險溝通是通過在決策者或其他相關(guān)利益方之間交換和/或共享風(fēng)險信息就如何管理風(fēng)險協(xié)商一致的活動。 這些信息包括但不限于，風(fēng)險的存在方式、性質(zhì)、形式、可能性、嚴(yán)重性、處置和可接受性。 確保能夠識別利益相關(guān)方的風(fēng)險認(rèn)知以及他們對收益認(rèn)知，并形成文件，以及深層的原因得到理解和處理。 組織應(yīng)該為正常的運(yùn)行和緊急情形制定風(fēng)險溝通計劃。,信息安全風(fēng)險管理,信息安全風(fēng)險管理過程,風(fēng) 險 評 估,環(huán)境建立,風(fēng)險識別,風(fēng)險分析,風(fēng)險評價,風(fēng)險處置,風(fēng)險接受,滿足？,