1、IT 审计审计培训培训IT 安全:S2/12007,3IT 安全安全第第 2节节风险分析风险分析IT 审计审计培训培训IT 安全:S2/22007,3什么是什么是“风险分析风险分析”?风险分析的目的是风险分析的目的是识别数据与其它识别数据与其它IT资产受到威胁的不同方式,以及这些资产受到威胁的不同方式,以及这些暴露的后续影响暴露的后续影响 暴露的解决措施作为暴露的解决措施作为”风险管理风险管理”的输的输入入IT 审计审计培训培训IT 安全:S2/32007,3一些概念一些概念 威胁威胁 概率概率/可能性可能性/机会机会 IT资产资产 脆弱性脆弱性 影响影响(C.I.A.)风险风险 业务后果业务
2、后果 记住记住 没有威胁就没有风险没有威胁就没有风险IT 审计审计培训培训IT 安全:S2/42007,3IT风险的组成风险的组成威胁威胁脆弱性脆弱性影响影响风险风险(安全安全需求需求)安全措施安全措施风险风险分析分析风险风险管理管理IT 审计审计培训培训IT 安全:S2/52007,3风险模型风险模型电力中断电力中断客户查询客户查询系统系统不可用性不可用性不支持决策不支持决策制定制定业务损失业务损失额外工作额外工作威胁威胁/脆弱性脆弱性IT 资产资产影响影响业务业务后果后果IT 审计审计培训培训IT 安全:S2/62007,3什么是潜在威胁什么是潜在威胁?大型机大型机工作站工作站以太网以太网
3、服务器服务器X.25工作站工作站工作站工作站服务器服务器网桥网桥磁盘阵列磁盘阵列小型机小型机网桥网桥打印机打印机帐户帐户X.25X.25IT 审计审计培训培训IT 安全:S2/72007,3为什么要分析为什么要分析IT风险风险?F以确保以确保IT安全符合成本效益安全符合成本效益F了解了解 风险环境风险环境:-V内部因素内部因素,如如:-现有哪些计算机系统?现有哪些计算机系统?以及为什么以及为什么?它们对业务的重要性如何它们对业务的重要性如何?它们面临什么威胁它们面临什么威胁?V外部因素外部因素,如如:-盗窃和损坏的威胁盗窃和损坏的威胁黑客黑客 的威胁的威胁对外部供应商的依赖对外部供应商的依赖I
4、T 审计审计培训培训IT 安全:S2/82007,3IT风险分析需要什么风险分析需要什么?F项目管理原则的运用项目管理原则的运用:-V成立审查指导委员会成立审查指导委员会V批准批准 TOR 和审查范围和审查范围V批准计划和资源需求批准计划和资源需求V确定指导委员会会议的日期确定指导委员会会议的日期F维护维护:-V健全的文档管理健全的文档管理 V一个好的审计轨迹一个好的审计轨迹 IT 审计审计培训培训IT 安全:S2/92007,3IT风险分析包含什么内容风险分析包含什么内容?IT风险分包括了解风险分包括了解-V哪些哪些IT资产需要加以保护资产需要加以保护V来自于什么类型的威胁来自于什么类型的威
5、胁V这些威胁如何显现这些威胁如何显现V它们发生的可能性它们发生的可能性V导致的业务后果导致的业务后果V现有的保护措施现有的保护措施IT 审计审计培训培训IT 安全:S2/102007,3管理报告管理报告F需要检查的系统优先次序表需要检查的系统优先次序表F每个系统以及所依赖的关键资产每个系统以及所依赖的关键资产(硬件硬件、软件、通信、数据、文档、人员、软件、通信、数据、文档、人员)F威胁、脆弱性、影响和业务后果的详细威胁、脆弱性、影响和业务后果的详细情况和测量情况和测量 F现有保护措施有效性的评估现有保护措施有效性的评估F固有风险水平的评估固有风险水平的评估IT 审计审计培训培训IT 安全:S2
6、/112007,3风险分析风险分析 警告警告!注意注意!初始的风险分析会比较昂贵,但初始的风险分析会比较昂贵,但.后续审查比较便宜后续审查比较便宜IT 审计审计培训培训IT 安全:S2/122007,3方法方法 好的方法应提供好的方法应提供.V防御型的风险分析技术防御型的风险分析技术 V项目管理框架项目管理框架V开展工作的详细指导开展工作的详细指导,包括,包括-审查问卷审查问卷表格和其它文具表格和其它文具V辅助风险管理辅助风险管理-适当控制的选择适当控制的选择控制实施的优先次序控制实施的优先次序IT 审计审计培训培训IT 安全:S2/132007,3手工方法手工方法 优点优点.V便宜,使用方便
7、便宜,使用方便V益于快速益于快速/高层评审高层评审 缺点缺点.V无自动化的文档管理无自动化的文档管理/审计轨迹审计轨迹V无自动化的数据处理无自动化的数据处理(电子表格和数据库电子表格和数据库软件可提供有限的帮助软件可提供有限的帮助)V风险管理的有限帮助风险管理的有限帮助(检查列表检查列表)V更多的依赖于审查人员的经验而不是专门更多的依赖于审查人员的经验而不是专门的软件包的软件包IT 审计审计培训培训IT 安全:S2/142007,3软件辅助方法软件辅助方法 优点优点:.V动化的文档管理动化的文档管理/审计轨迹审计轨迹V自动化的数据处理自动化的数据处理V风险分析和风险管理的完全整合风险分析和风险
8、管理的完全整合V支持自动化的支持自动化的“如果如果?”规则规则 缺点缺点.V成本成本(逐渐降低逐渐降低).初始采购成本和每年的维护成本初始采购成本和每年的维护成本用户培训用户培训强大的强大的 PC和激光打印机和激光打印机V此方法会很容易控制任务此方法会很容易控制任务IT 审计审计培训培训IT 安全:S2/152007,3总结总结 IT 风险分析风险分析-V识别和量化安全暴露识别和量化安全暴露V告知风险管理流程告知风险管理流程V仅是一个仅是一个“快照快照”流程流程-V评估系统对业务的重要程度评估系统对业务的重要程度V识别识别IT资产和它们的从属资产和它们的从属V评估威胁和脆弱性的程度评估威胁和脆弱性的程度 方法方法-V手工手工V软件支持软件支持