1、 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited 积极参与,小组讨论,活跃气氛 遵守时间 请将移动电话设置为震动 有问题请随时提出 2006-2007 Aryasec Information Technology Limited 2006-2007 Ary
2、asec Information Technology Limited 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务有价值的内容有价值的内容 ISO9000信息安全概述 2006
3、-2007 Aryasec Information Technology Limited内部信息内部信息组织不想让其竞争对手知道的信息客户信息客户信息顾客/客户不想让组织泄漏的信息共享信息共享信息需要与其他业务伙伴分享的信息信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryase
4、c Information Technology Limited20世纪世纪60年代前年代前60年代到年代到80年代年代20世纪世纪80年代末以后年代末以后 电话、电报、传真 强调的是信息的保密性 对安全理论和技术的研究只侧重于密码学 通信安全通信安全,即COMSEC 计算机软硬件极大发展 关注保密性、完整性和可用性目标 信息安全信息安全,即INFOSEC 代表性成果是美国的TCSEC和欧洲的ITSEC测评标准 互联网技术飞速发展,信息无论是对内还是对外都得到极大开放 信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性,并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展 信息保
5、障信息保障(Information Assurance),从整体角度考虑安全体系建设 美国的IATF规范 信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec In
6、formation Technology Limited保密性(保密性(Confidentiality)确保信息在存储、使用、传输过程中不会泄漏给非授权用户用户或实体。完整性(完整性(Integrity)确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。可用性(可用性(Availability)确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:isclosurelterationestruction信息安全概述 2006-
7、2007 Aryasec Information Technology LimitedConfidentiality 机机密性密性Availability 可用性可用性Integrity 完整性完整性信息安全概述 2006-2007 Aryasec Information Technology Limitedu 私密性(私密性(Privacy)个人和组织控制私用信息采集、存储和分发的权利。u 身份识别(身份识别(Identification)用户向系统声称其真实身份的方式。u 身份认证(身份认证(Authentication)测试并认证用户的身份。u 授权(授权(Authorization)为
8、用户分配并校验资源访问权限的过程。u 可追溯性(可追溯性(Accountability)确认系统中个人行为和活动的能力。u 抗抵赖性(抗抵赖性(Non-repudiation)确保信息创建者就是真正的发送者的能力。u 审计(审计(Audit)对系统记录和活动进行独立复查和审核,确保遵守性信息安全概述 2006-2007 Aryasec Information Technology Limitedu 信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 u 信息安全是国家安全的需要信息安全是国家安全的需要u 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一信息安全是维
9、持组织竞争优势、赢利能力、守法性和企业形象的保障之一u 信息安全是保护个人隐私与财产的需要信息安全是保护个人隐私与财产的需要u 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏u 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击u 网络技术的高速发展增加了对计算机系统未授权访问的机会u 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难u 许多信息系统的设计本身就不安全u 通过技术手段获得的安全是有限的,还应该通过恰当的管理和程序来支持信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全
10、概述 2006-2007 Aryasec Information Technology Limitedu 物理安全技术物理安全技术:环境安全、设备安全、媒体安全u 系统安全技术系统安全技术:操作系统及数据库系统的安全性u 网络安全技术网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估u 应用安全技术应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全u 数据加密技术数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性u 认证授权技术认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等u 访问控制技术访问控制技术:防火墙、访问控制列表等u
11、审计跟踪技术审计跟踪技术:入侵检测、日志审计、辨析取证u 防病毒技术防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系u 灾难恢复和备份技术灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limitedu 信息安全的成败取决于两个因素:技术和管理。u 安全技术是信息安全的构筑
12、材料,安全管理是真正的粘合剂和催化剂。u 人们常说,三分技术,七分管理三分技术,七分管理,可见管理对信息安全的重要性。u 信息安全管理(Information Security Management)是组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。u 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。u 信息安全管理的核心就是风险管理风险管理。信息安全概述 2006-20
13、07 Aryasec Information Technology Limitedu 国家的信息安全法律法规体系建设还不是很完善u 组织缺乏信息安全意识和明确的信息安全策略u 对信息安全还持有传统的认识,即重技术,轻管理u 安全管理缺乏系统管理的思想,还是就事论事式的静态管理信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limi
14、ted信息安全概述 2006-2007 Aryasec Information Technology Limitedu 信息安全必须从整体去考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子u 这就是信息安全管理体系,它应该成为组织整体经营管理体系的一部分信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limitedu 采购各种安全产品,由产品厂商提供方案:防病毒,防火墙,IDS,S
15、canner,VPN等u 通常由IT部门的技术人员兼职负责日常维护,甚至根本没有日常维护u 这是一种以产品为核心的信息安全解决方案u 这种方法存在众多不足:难以确定真正的需求:保护什么?保护对象的边界?保护到什么程度?管理和服务跟不上,对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描代替风险评估,对风险的认识很不全面u 这种方法是“头痛医头,脚痛医脚”,很难实现整体安全u 不同厂商、不同产品之间的协调也是难题信息安全概述 2006-2007 Aryasec Information Technology Limitedu 技术和产品是基础,管理才是关键u 产品和技术,要通过管理的组织职能才能发
16、挥最佳作用u 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全技术不高但管理良好的系统远比技术高超但管理混乱的系统安全u 先进、易于理解、方便操作的安全策略对信息安全至关重要u 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全u 根本上说,信息安全是个管理过程,而不是技术过程信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limitedu 信息安全管理是指导和控制组织的关于信息安全风险的相互
17、协调的活动。制定信息安全策略方针 风险评估和管理 控制目标和方式选择 风险控制 安全保证u 信息安全策略方针为信息安全管理提供导向和支持。u 控制目标与控制方式的选择应该建立在风险评估的基础上。u 考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。u 对风险实施动态管理。u 需要全员参与。u 遵循管理的一般模式PDCA模型。信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limited设定信息安全的方向和目标,定义管理层承诺的策
18、略确定安全需求根据需求采取措施消减风险,以实现既定安全目标信息安全概述 2006-2007 Aryasec Information Technology Limited信息安全概述 2006-2007 Aryasec Information Technology Limitedu 定义ISMS的范围u 定义ISMS策略u 定义一个系统化的风险管理途径u 识别风险u 评估风险u 识别并评价风险处理的可选方案u 选择控制目标和控制措施,以便处理风险u 准备适用性声明(SoA)u 获得管理层批准信息安全概述 2006-2007 Aryasec Information Technology Limit
19、edu 对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)u 各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件u 证据 能够表明组织按照BS7799要求采取相应步骤而建立了管理框架 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性信息安全概述 2006-2007 Aryasec Information Technology Limitedu 安全策略、目标和活动应该反映业务目标u 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径u 来自高级管理层的明确的支持和承诺u 深刻理解安全需求
20、、风险评估和风险管理u 向所有管理者和员工有效地推广安全意识u 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准u 为信息安全管理活动提供资金支持u 提供适当的培训和教育u 建立有效的信息安全事件管理流程u 建立衡量体系,用来评估信息安全管理体系的表现,提供反馈建议供改进信息安全概述 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limitedu 英国标准学会(British Standards Institution,BSI)u 著名的ISO9000
21、、ISO14000、ISO17799/BS7799等标准的编写机构u 英国标准学会(BSI)是世界上最早的全国性标准化机构,它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍,完善自己的工作机构和体制,把标准化和质量管理以及对外贸易紧密结合起来开展工作BS 7799简介 2006-2007 Aryasec Information Technology Limitedu 国际标准化组织(International Organization for Standardization,ISO)u 国际标准化组织是世界上最大的非政府性标准化专门机构,它在国际标准化中占主导地位。u ISO的
22、主要活动是制定国际标准,协调世界范围内的标准化工作,组织各成员国和技术委员会进行报交流,以及与其他国际性组织进行合作,共同研究有关标准问题。u 随着国际贸易的发展,对国际标准的要求日益提高,ISO的作用也日趋扩大,世界上许多国家对ISO也越加重视。u BS 7799简介 2006-2007 Aryasec Information Technology Limitedu 英国标准协会(British Standards Institute,BSI)制定的信息安全标准。u 由信息安全方面的最佳惯例组成的一套全面的控制集。u 信息安全管理方面最受推崇的国际标准。BS 7799简介 2006-2007
23、 Aryasec Information Technology Limited 为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信。BS 7799简介 2006-2007 Aryasec Information Technology Limitedu 1990年代初 英国贸工部(DTI)成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。u 1993年9月 颁布信息安全管理实施细则,形成BS 7799的基础。u 1995年2月 首次出版BS 77
24、99-1:1995信息安全管理实施细则。u 1998年2月 英国公布BS 7799-2:信息安全管理体系规范。u 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。u 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799:2000信息技术信息安全管理实施细则。u 2002年9月 BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-2:1999)使用。u 2005年年6月月 ISO17799:2000改版,成为改版,成为ISO17799:2005。u 2005年年10月月 ISO
25、正式采用正式采用BS7799-2:2002,命名为,命名为ISO 27001:2005。BS 7799简介 2006-2007 Aryasec Information Technology Limitedu BS 7799技术委员会是BSI-DISC Committee BDD/2,成员包括:金融服务:英国保险协会,渣打会计协会,汇丰银行等 通信行业:大英电讯公司等 零售业:Marks and Spencer plc 国际组织:壳牌,联合利华,毕马威(KPMG)等u 目前除英国之外,国际上已有荷兰(SPE20003)、丹麦和瑞典(SS627799)、挪威、芬兰、澳大利亚和新西兰(AS/NZS4
26、444)、南非、巴西、日本(JIS X 5080)等国采用BS 7799。u 我国的台湾、香港地区也在推广该标准。u 日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极。u 全球目前有2000多家机构通过了BS 7799/ISO27001认证,涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。(可查询http:/ 目前大陆地区通过信息安全管理体系认证的有近30家。BS 7799简介 2006-2007 Aryasec Information Technology Limited截至截至2006年初,全球通过年初,全球通过BS7799/ISO27001认证的有认
27、证的有2000多家机构多家机构http:/ 7799简介 2006-2007 Aryasec Information Technology Limited此图摘自http:/www.gammassl.co.uk/BS 7799简介 2006-2007 Aryasec Information Technology Limitedu 可以强化员工的信息安全意识,规范组织信息安全行为。u 对组织的关键信息资产进行全面系统的保护,维持竞争优势。u 在信息系统受到侵害时,确保业务连续开展并将损失降到最低程度。u 向贸易伙伴证明对信息安全的承诺,使贸易伙伴和客户对组织充满信心。u 如果通过体系认证,表明组
28、织的信息安全体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度。u 促使管理层坚持贯彻信息安全保障体系。BS 7799简介 2006-2007 Aryasec Information Technology Limitedu ISO17799:源自BS7799-1。工具包,体现了三分技术七分管理的思想u ISO27001:源自BS7799-2。框架体系,是建立信息安全管理系统(ISMS)的一套规范,一个完整的解决方案BS 7799简介 2006-2007 Aryasec Information Technology LimitedBS 7799简介 2006-2007 Aryas
29、ec Information Technology LimitedISO 17799ISO 17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncident HandlingIncident ReportingDisasterRecoveryRisk AssessmentBusiness Continuity PlanPoliciesSecurityPolicyBS 7799简介 2006-2007 Aryasec Information Technology Limitedu ISO7498-2(GB/T9387-2,19
30、95)1989年ISO组织制定的信息处理系统 开放系统互连 基本参考模型 第2部分 安全体系结构,该标准对安全服务及相关机制进行了一般描述u ISO15408(GB/T18336,2001,即CC标准)1993年6月,美国、加拿大及欧洲四国共同协商并起草通过了CC标准,最终将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准u SSE-CMM(ISO/IEC DIS 21827)美国国家安全局(NSA)于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征,这些特征是完善安全工程的根本保证u IATF 美国国
31、家安全局(NSA)制定的Information Assurance Technical Framework,为保护美国政府和工业界的信息与信息技术设施提供技术指南u ISO/TR 13569 银行和相关金融服务信息安全指南BS 7799简介 2006-2007 Aryasec Information Technology Limitedu BSI DISC提供了一组关于BS 7799的系列指导文件(PD3000系列):PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Mana
32、gement PD 3003 “Are you ready for a BS7799 Audit?”PD 3004 Guide to BS7799 Auditing PD 3005 Guide to the selection of BS7799 controlsu AS/NZS 4444 澳大利亚和新西兰等同采用的BS7799(后来,根据ISO/IEC 17799:2000颁布了AS/NZS ISO/IEC 17799:2001,根据BS7799-2:2002又颁布了AS/NZS 7799.2:2003)u AS/NZS 4360 澳大利亚和新西兰自己的信息安全管理标准u ISO/IEC T
33、R 13335 即IT安全管理指南(Guidelines for the Management of IT Security,GMITS),分5个部分。是信息安全管理方面的指导性标准,专注于IT领域,并不用于审计和认证BS 7799简介 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited信息安全管理体系认证 2006-2007 Aryasec Information Technology Limitedu 定义认证范围是让认证机构和审核员确定评估程序的
34、基础。u 定义认证范围时,组织应该考虑:文档化的适用性声明 组织的相关活动 要包括在内的组织范围 地理位置 信息系统边界、平台和应用 包括在内的支持活动 排除在外的因素u 认证机构在展开认证过程之前将与组织在认证范围上达成一致意见。信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited进行ISO27001认证之前,组织可以参照以下检查列表来做准备:u 董事会和管理层的签署承诺u 已签署并发布的安全策略文档u 已识别的资产u 风险评估的结果文档u 已作出的风险管理决策u 已识别的可用控制u 文档化的适用性声明u 文档化的业务连续性计
35、划,并得到了实施和测试u 文档化的ISMS程序,并且发布和实施u 确定ISMS有效性的内部复审信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited选择受认可的认证机构选择受认可的认证机构Phase1:文档审核:文档审核Phase2:现场审查:现场审查维持认证维持认证组织应该向认证机构提供必要的信息 复审风险评估文档、安全策略和适用性声明 复审ISMS的其他文档 ISMS的实施情况,符合性审查 风险管理决策的基础组织被授予证书后,审核组每年都会对其ISMS符合性进行检查。证书三年有效,之后需要再次认证。组织必须向认证机构通报任何变
36、化。预审(预审(Pre-assessment)可选信息安全管理体系认证 2006-2007 Aryasec Information Technology Limitedu 一般来说都是现场进行的u 审核ISMS框架,以考查其是否符合ISO27001的4-8部分的要求u 查看策略、范围、风险评估、风险管理、控制选择和适用性声明相关的文件u 审核员或许不会非常深入地查看特定程序文件的细节,但却期望能直接在标准、程序和工作指导书上签署意见u 对来自文档审核阶段的不符合项进行究根问底u 审核抽样,以验证ISMS底实施和操作u 审核小组组长会提交一个建议,但并不做最终认证决策u 对于审核期间记录在案的不
37、符合项,组织必须在一个月之内采取纠正性措施信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited信息安全管理体系认证 2006-2007 Aryasec Information Technology Limited信息安全管理体系认证 2006-2007 Aryasec Information Te
38、chnology Limited 2006-2007 Aryasec Information Technology Limited 。风险评估与管理 2006-2007 Aryasec Information Technology Limited低影响高可能性高影响低可能性低影响低可能性目标目标风险评估与管理 2006-2007 Aryasec Information Technology Limited风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险漏洞漏洞风险评估与管理 2006-2007 Arya
39、sec Information Technology Limitedu 绝对的零风险是不存在的,要想实现零风险,也是不现实的;u 计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。在计算机安全领域有一句格言:“真正安真正安全的计算机是拔下网线,断掉电源,放置在地全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。掩体外安排士兵守卫。”显然,这样的计算机是无法使用的。风险评估与管理 2006-2007 Aryasec Inform
40、ation Technology Limited低低高高高高安全成本安全成本/损损失失所提供的安全水平所提供的安全水平风险评估与管理 2006-2007 Aryasec Information Technology Limitedu 资产(资产(Asset)任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。u 威胁(威胁(Threat)可能对资产或组织造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。u 弱点(弱点(Vulnerabili
41、ty)也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。u 风险(风险(Risk)特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性(可能性(Likelihood)对威胁发生几率(Probability)或频率(Frequency)的定性描述。u 影响(影响(Impact)后果(Consequence),意外事件发生给组织带来的直接或间接的损失或伤害。u 安全措施(安全措施(Safeguard)控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制
42、、方法和措施。u 残留风险(残留风险(Residual Risk)在实施安全措施之后仍然存在的风险。风险评估与管理 2006-2007 Aryasec Information Technology Limited防范防范采取采取提出提出减少减少利用利用导致导致导致导致暴露暴露增加增加具有具有风险评估与管理 2006-2007 Aryasec Information Technology LimitedRisk=Asset ValueThreatVulnerabilityResidual Risk=Asset ValueThreatVulnerabilityControl Gap()风险评估与管
43、理 2006-2007 Aryasec Information Technology Limited识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险(测量与等级划分)接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险评估风险消减风险消减风险接受风险接受风险管理风险管理风险评估与管理 2006-2007 Aryasec Information Technology Limited定性风险分析定性风险分析优点计算方式简单,易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较
44、有弹性缺点本质上是非常主观的,其结果高度依赖于评估者的经验和能力,很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析定量风险分析优点评估结果是建立在独立客观地程序或量化指标之上的可以为成本效益审核提供精确依据,有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点信息量大,计算量大,方法复杂没有一种标准化的知识库,依赖于提供工具或实施调查的厂商投入大,费时费力定量风险评估定量风险评估:试图从数字上对安全风险进行分析评估的一种方法。定性风险评估定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸
45、要素的大小或 高低程度定性分级。风险评估与管理 2006-2007 Aryasec Information Technology Limitedu 数据信息数据信息:存在于电子媒介中的各种数据和资料,包括源代码、数据库、数据文件、系统文件等u 书面文件书面文件:合同,策略方针,企业文件,重要商业结果u 软件资产软件资产:应用软件,系统软件,开发工具,公用程序u 实物资产实物资产:计算机和通信设备,磁介质,电源和空调等技术性设备,家具,场所u 人员人员:承担特定职能和责任的人员u 服务服务:计算和通信服务,其他技术性服务,例如供暖、照明、水电、UPS等u 组织形象与声誉组织形象与声誉:企业形象,
46、客户关系等,属于无形资产风险评估与管理 2006-2007 Aryasec Information Technology Limitedu 人员威胁人员威胁:故意破坏和无意失误u 系统威胁系统威胁:系统、网络或服务出现的故障u 环境威胁环境威胁:电源故障、污染、液体泄漏、火灾等u 自然威胁自然威胁:洪水、地震、台风、雷电等风险评估与管理 2006-2007 Aryasec Information Technology Limitedu 技术性弱点技术性弱点:系统、程序、设备中存在的漏洞或缺陷。u 操作性弱点操作性弱点:配置、操作和使用中的缺陷,包括人员的不良习惯、审计或备份中的漏洞。u 管理性
47、弱点管理性弱点:策略、程序、规章制度、人员意识、组织结构等方面的不足。风险评估与管理 2006-2007 Aryasec Information Technology Limited风险评估与管理 2006-2007 Aryasec Information Technology Limitedu 风险场景:一个个人经济上存在问题的公司职员(公司并不了解这一点)有权独立访问某类高敏感度的信息,他可能窃取这些信息并卖给公司的竞争对手。u 确定风险因子:后果为2,弱点值为3,威胁值为3u 评估风险:套用风险分析矩阵,该风险被定为高风险(18)u 应对风险:根据公司风险评估计划中确定的风险接受水平,应
48、该对该风险采取措施予以消减。风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/资产价值资产价值1123246369224648126121833696121891827风险评估与管理 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology Limited 2006-2007 Aryasec Information Technology LimitedISO17799:2005ISO17799:2005 信息安全管理实施细则 2006-2
49、007 Aryasec Information Technology Limited对比对比ISO17799:2000老版老版ISO17799:2005 信息安全管理实施细则 2006-2007 Aryasec Information Technology Limited “Not all of the controls described in this document will be relevant to every situation.It cannot take account of local system,environmental or technological const
50、raints.It may not be in a form that suits every potential user in an organization.Consequently the document may need to be supplemented by further guidance.It can be used as a basis from which,for example,a corporate policy or an inter-company trading agreement can be developed.”并不是所有此处描述的控制都与各种环境相关