1、风险评估风险评估信息平安风险评估概述信息平安风险评估概述信息平安风险评估策略信息平安风险评估策略信息平安风险评估流程信息平安风险评估流程信息平安风险评估方法信息平安风险评估方法风险评估案例风险评估案例风险评估概述风险评估概述信息平安风险评估概述信息平安风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述企业风险管理框架一个根底三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述风险评估概述一个根底:公司治理构造 建立一个健全的、以董事会为首的公司治理构造 订立企业的目标和战略,包括企业的风险政策和极
2、限 贯彻一套重视风险管理的企业文化和价值观风险评估概述风险评估概述第一道防线:业务单位防线(风险宇宙风险宇宙TM TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资
3、本债务商品利率外汇税务会计合规风险评估概述风险评估概述企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进展分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进展记录和存档,对内控措施的有效性不断进展测试和更新第一道防线:总结第一道防线:总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述风险评估概述第二道防线:风险管理单位防线第二道防线:风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风
4、险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进展组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金风险评估概述风险评估概述“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。”美国内部审计师协会第三道防线:内审单位防线第三道防线:内审单位防线 第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企
5、业关心的问题 内部审计的定义:风险评估概述风险评估概述内部审计的内部审计的三大功能三大功能 财务监视 财务帐的可用性 内部管理和制度的执行 典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况 经营诊断 管理审计以及效率和效益审计 检查和诊断经营和管理过程中的偏差和失误 典型例子:企业对某业务单位或某部门执行效益审计(一个输入与产出的关系)风险评估概述风险评估概述咨询参谋企业风险管理和开展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子:兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略风险评估概
6、述风险评估概述风险管理过程风险管理是对工程风险进展识别、分析、和应对的系统的过程。规划风险管理识别风险实施定性风险分析实施定量风险分析监控风险规划风险应对方案过程监控过程风险评估概述风险评估概述1 1、规划风险管理流程、规划风险管理流程工程范围说明书本钱管理方案进度管理方案沟通管理方案事业环境因素风险态度风险承受度既定的风险管理方法规划会议、分析风险管理方案依据工具、技术结果风险评估概述风险评估概述2 2、识别风险流程、识别风险流程工具、技术工程范围说明书事业环境因素组织过程资产风险管理方案集成管理方案框架分析法头脑风暴法要素分析法情景分析法流程分析法潜在风险风险征兆风险来源风险清单风险评估概
7、述风险评估概述3 3、实施定性风险分析流程、实施定性风险分析流程风险登记册风险数据质量评估概率影响矩阵风险概率和影响评估7、定性分析结果的趋势6、低优先观察清单5、进一步分析的风险4、需近期处理的风险3、风险成因及需关注领域2、按类别分类的风险1、优先级清单风险登记册更新组织过程资产风险管理方案工程范围说明书风险分类风险紧迫性评估专家判断风险评估概述风险评估概述4 4、实施定量风险分析流程、实施定量风险分析流程风险登记册风险管理方案本钱管理方案进度管理方案专家判断定量风险分析和建模数据收集与表现技术*定量风险分析结果中反响的趋势*实现本钱和时间目标的概率*工程的概率分析*量化风险优先级清单风险
8、登记册更新组织过程资产风险评估概述风险评估概述5 5、规划风险应对流程、规划风险应对流程风险登记册风险管理方案消极风险或威胁的应对策略积极风险或时机的应对策略应急应对策略专家判断风险登记册更新与风险相关的合同决策工程管理方案更新工程文件更新风险评估概述风险评估概述6 6、监控风险流程、监控风险流程依据工具或技术结果风险登记册储藏分析技术绩效测量偏差和趋势分析风险审计风险再评估工程文件更新工程管理方案更新变更请求组织过程资产风险登记册更新工程管理方案工作绩效信息绩效报告状态审查会风险评估概述风险评估概述信息平安风险评估信息平安风险评估 信息平安风险评估,是信息平安风险评估,是从风险管理角度,运用
9、科从风险管理角度,运用科学的方法和手段,系统地学的方法和手段,系统地分析网络与信息系统所面分析网络与信息系统所面临的威胁及其存在的脆弱临的威胁及其存在的脆弱性,评估平安事件一旦发性,评估平安事件一旦发生可能造成的危害程度,生可能造成的危害程度,提出有针对性的抵御威胁提出有针对性的抵御威胁的防护对策和整改措施。的防护对策和整改措施。并为防范和化解信息平安并为防范和化解信息平安风险,或者将风险控制在风险,或者将风险控制在可承受的水平,从而最大可承受的水平,从而最大限度地保障网络和信息平限度地保障网络和信息平安提供科学依据国信办安提供科学依据国信办20065号文件。号文件。风险评估概述风险评估概述信
10、息平安风险评估信息平安风险评估 信息平安风险评估是指依据有关信息平安技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等平安属性进展评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致平安事件的可能性,并结合平安事件所涉及的资产价值来判断平安事件一旦发生对组织造成的影响。狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前平安措施的识别与评估、风险分析以及根据风险评估的结果选取适当的平安措施以降低风险的过程。风险评估概述风险评估概述信息平安风险评估信息平安风险评估 信息平安风险评估的根本思路是在信息平安事件发生之前,通过有效的手
11、段对组织面临的信息平安风险进展识别、分析,并在此根底上选取相应的平安措施,将组织面临的信息平安风险控制在可承受范围内,以此到达保护信息系统平安的目的。风险评估概述风险评估概述信息平安风险评估相关要素信息平安风险评估相关要素 信息平安风险评估的对象是信息系统,信息平安风险评估的对象是信息系统,信息系统的资产、信息系统可能面对的威胁、信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点脆弱点、系统中已有的系统中存在的弱点脆弱点、系统中已有的平安措施等是影响信息平安风险的根本要素,平安措施等是影响信息平安风险的根本要素,它们和平安风险、平安风险对业务的影响以及它们和平安风险、平安风险对业务的影响
12、以及系统平安需求等构成信息平安风险评估的要素。系统平安需求等构成信息平安风险评估的要素。资产威胁脆弱点平安措施平安风险影响需求风险评估概述风险评估概述 根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据、软件、提供产品和效劳的能力、人员、无形资产。我国的?信息平安风险评估指南?那么认为,资产是指对组织具有价值的信息资源,是平安策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有效劳、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、效劳、人员等类。风险评估要素风险评估要素风险评估概述风险评估概述分
13、类示例数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语言包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、可执行程序、自行或合作开发的各种程序等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其
14、他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象,客户关系等风险评估概述风险评估概述风险评估要素风险评估要素 威胁是可能对资产或组织造成损害的潜在原因。威威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系胁有潜
15、力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和效劳所处理信息的直接或间接攻击。也可能信息系统和效劳所处理信息的直接或间接攻击。也可能是偶发事件。是偶发事件。根据威胁源的不同,威胁可分为:自然威胁、环境根据威胁源的不同,威胁可分为:自然威胁、环境威胁、系统威胁、人员威胁。威胁、系统威胁、人员威胁。风险评估概述风险评估概述威胁源常见表现形式自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、雷电、其他环境威胁火灾、战争、重大疫情、恐怖主义、供电故障、供水故障、其他公共设施中断、危险物质泄漏
16、、重大事故(如交通工具碰撞等)、污染、温度或湿度、其他系统威胁网络故障、硬件故障、软件故障、恶意代码、存储介质的老化、其他外部人员网络窃听、拒绝服务攻击、用户身份仿冒、系统入侵、盗窃、物理破坏、信息篡改、泄密、抵赖、其他。内部人员未经授权信息发布、未经授权的信息读写、抵赖、电子攻击(如利用系统漏洞提升权限)、物理破坏(系统或存储介质损坏)、盗窃、越权或滥用、误操作风险评估概述风险评估概述风险评估要素风险评估要素3.脆弱点脆弱点 脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。脆弱点是资产本身存
17、在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健,再严重的威胁也不会导致平安事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的局部。需要注意的是,不正确的、起不到应有作用的或没有正确实施的平安措施本身就可能是一个脆弱点。风险评估概述风险评估概述脆弱点主要表现在从技术和管理两个方面 技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。管理脆弱点那么是指组织管理制度、流程等方面存在的缺陷或缺乏。例如:安装杀毒软件或病毒库未及时升级操作系统
18、或其他应用软件存在拒绝效劳攻击漏洞数据完整性保护不够完善数据库访问控制机制不严格都属于技术脆弱点系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等风险评估概述风险评估概述风险评估要素风险评估要素 根据ISO/IEC 13335-1,信息平安风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件或称为平安事件来表达。资产、威胁、脆弱点是信息平安风险的根本要素,是信息平安风险存在的根本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,平安事件也不会发生;系统没有脆弱点,威胁就
19、没有可利用的环节,平安事件也不会发生。风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。风险评估概述风险评估概述风险评估要素风险评估要素5.影响影响影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为:直接形式,如物理介质或设备的破坏、人员的损伤、直接的资金损失等;间接的损失如公司信用、形象受损、市场分额损失、法律责任等。在信息平安领域,直接的损失往往容易估计且损失较小,间接的损失难易估计且常常比直接损失更为严重。如某公司信息系统中一路由器因雷击而破坏,其直接的损失表现为路由器本身的价值、修复所需的人力物力等;而间接损失那么较为
20、复杂,由于路由器不能正常工作,信息系统不能提供正常的效劳,导致公司业务量的损失、企业形象的损失等,假设该路由器为金融、电力、军事等重要部门提供效劳,其间接损失更为巨大。风险评估概述风险评估概述风险评估要素风险评估要素 平安措施是指为保护资产、抵御威胁、减少脆弱点、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。有效的平安通常要求不同平安措施的结合以为资产提供多级的平安。例如,应用于计算机的访问控制机制应被审计控制、人员管理、培训和物理平安所支持。风险评估概述风险评估概述风险评估要素风险评估要素 平安措施可能实现一个或多个以下功能:保护、震慑、检测、限
21、制、纠正、恢复、监视、平安意识等。同功能的平安措施需要不同的本钱,同时能够实现多个功能的平安措施通常具有更高的本钱有效性。平安措施的实施领域包括:物理环境、技术领域、人员、管理等,可用的平安措施包括:访问控制机制、防病毒软件、加密机制、数字签名、防火墙、监视与分析工具、冗余电力供给、信息备份等。风险评估概述风险评估概述风险评估要素风险评估要素 平安需求是指为保证组织业务战略的正常运作而在平安措施方面提出的要求。平安需求可表达在技术、组织管理等多个方面。如关键数据或系统的的机密性、可用性、完整性需求、法律法规的符合性需求、人员平安意识培训需求、信息系统运行实时监控的需求等。风险评估概述风险评估概
22、述风险评估要素相互关系风险评估要素相互关系 资产、威胁、脆弱点是信息平安风险的根本要素,与信资产、威胁、脆弱点是信息平安风险的根本要素,与信息平安风险有关的要素还包括:平安措施、平安需求、影响息平安风险有关的要素还包括:平安措施、平安需求、影响等。等。ISO/IEC 13335-1对它们之间的关系描述如下图对它们之间的关系描述如下图风险评估概述风险评估概述 我国的我国的?信息平信息平安风险评估指南安风险评估指南?对对ISO/IEC 13335-1提出风险提出风险要素关系模型进要素关系模型进展了扩展。展了扩展。风险评估概述风险评估概述 图中方框局部的内容为风险评估的根本要素图中方框局部的内容为风
23、险评估的根本要素;风险评估概述风险评估概述椭圆局部的内容是与根本要素相关的属性。椭圆局部的内容是与根本要素相关的属性。风险评估概述风险评估概述风险要素及属性之间存在着以下关系:风险要素及属性之间存在着以下关系:业务战略依赖资产去实现;业务战略依赖资产去实现;资产是有价值的,组织的业务战略对资产的依赖度越高资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;,资产价值就越大;资产价值越大那么其面临的风险越大;资产价值越大那么其面临的风险越大;风险是由威胁引发的,资产面临的威胁越多那么风险越风险是由威胁引发的,资产面临的威胁越多那么风险越大,并可能演变成平安事件;大,并可能演变成平安
24、事件;弱点越多,威胁利用脆弱点导致平安事件的可能性越大弱点越多,威胁利用脆弱点导致平安事件的可能性越大;脆弱点是未被满足的平安需求,威胁要通过利用脆弱点脆弱点是未被满足的平安需求,威胁要通过利用脆弱点来危害资产,从而形成风险;来危害资产,从而形成风险;风险的存在及对风险的认识导出平安需求;风险的存在及对风险的认识导出平安需求;风险评估概述风险评估概述平安需求可通过平安措施得以满足,需要结合资产价值考虑实施本钱;平安措施可抵御威胁,降低平安事件的发生的可能性,并减少影响;风险不可能也没有必要降为零,在实施了平安措施后还会有残留下来的风险。有些剩余风险来自于平安措施可能不当或无效,在以后需要继续控
25、制,而有些剩余风险那么是在综合考虑了平安本钱与效益后未控制的风险,是可以被承受的;剩余风险应受到密切监视,它可能会在将来诱发新的平安事件。风险评估概述风险评估概述为什么要做风险评估为什么要做风险评估 平安源于风险。平安源于风险。在信息化建立中,建立与在信息化建立中,建立与运营的网络与信息系统由运营的网络与信息系统由于可能存在的系统设计缺于可能存在的系统设计缺陷、隐含于软硬件设备的陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷、系统集成时带来的缺陷,以及可能存在的某缺陷,以及可能存在的某些管理薄弱环节,尤其当些管理薄弱环节,尤其当网络与信息系统中拥有极网络与信息系统中拥有极为重要的信息资产时,
26、都为重要的信息资产时,都将使得面临复杂环境的网将使得面临复杂环境的网络与信息系统潜在着假设络与信息系统潜在着假设干不同程度的平安风险。干不同程度的平安风险。风险评估概述风险评估概述 风险评估可以不断深入地发现系统建立中风险评估可以不断深入地发现系统建立中的平安隐患,采取或完善更加经济有效的平安的平安隐患,采取或完善更加经济有效的平安保障措施,来消除平安建立中的盲目乐观或盲保障措施,来消除平安建立中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方目恐惧,提出有针对性的从实际出发的解决方法,提高系统平安的科学管理水平,进而全面法,提高系统平安的科学管理水平,进而全面提升网络与信息系统的平安保
27、障能力。提升网络与信息系统的平安保障能力。风险评估策略风险评估策略信息平安风险评估策略信息平安风险评估策略风险评估策略风险评估策略 不同的组织有不同的平安需求和平安战略,风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和效劳。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和平安要求相符合。风险评估策略风险评估策略 基线风险评估基线风险评估 详细风险评估详细风险评估 综合风险评估综合风险评估风险评估策略风险评估策略1.基线风险评估基线风险评估 基线风险评估要求组织根据自己的实际基线风险评估要求组织根据自己的实际情况所在
28、行业、业务环境与性质等,对情况所在行业、业务环境与性质等,对信息系统进展基线平安检查将现有的平安信息系统进展基线平安检查将现有的平安措施与平安基线规定的措施进展比较,找出措施与平安基线规定的措施进展比较,找出其中的差距,得出根本的平安需求,通过其中的差距,得出根本的平安需求,通过选择并实施标准的平安措施来消减和控制风选择并实施标准的平安措施来消减和控制风险。险。风险评估策略风险评估策略1.基线风险评估基线风险评估 可以根据以下资源来选择平安基线:可以根据以下资源来选择平安基线:(1)国际标准和国家标准;国际标准和国家标准;(2)行业标准或推荐;行业标准或推荐;(3)来自其他有类似商务目标和规模
29、的组织的来自其他有类似商务目标和规模的组织的惯例。惯例。风险评估策略风险评估策略基线评估的优点是:基线评估的优点是:(1)风险分析和每个防护措施的实施管理只需要最少数风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力;量的资源,并且在选择防护措施时花费更少的时间和努力;(2)如果组织的大量系统都在普通环境下运行并且如果如果组织的大量系统都在普通环境下运行并且如果平安需要类似,那么很多系统都可以采用一样或相似的基平安需要类似,那么很多系统都可以采用一样或相似的基线防护措施而不需要太多的努力。线防护措施而不需要太多的努力。基线评估的的缺点是:基线评估的的
30、缺点是:(1)基线水平难以设置,如果基线水平设置的过高,基线水平难以设置,如果基线水平设置的过高,有些有些IT系统可能会有过高的平安等级;如果基线水平设置系统可能会有过高的平安等级;如果基线水平设置的过低,有些的过低,有些IT系统可能会缺少平安,导致更高层次的暴系统可能会缺少平安,导致更高层次的暴露;露;(2)风险评估不全面、不透彻,且不易处理变更。风险评估不全面、不透彻,且不易处理变更。风险评估策略风险评估策略综合评价 虽然当平安基线已建立的情况下,基线评估本钱低、易于实施。但由于不同组织信息系统千差万别,信息系统的威胁时刻都在变化,很难制定全面的、具有广泛适用性的平安基线,而组织自行建立平
31、安基线本钱很高。目前世界上还没有全面、统一的、能符合组织目标的、值得信赖的平安基线,因而基线评估方法开展并不普遍。风险评估策略风险评估策略2 详细风险评估详细风险评估 详细风险评估要求对资产、威胁和脆弱点详细风险评估要求对资产、威胁和脆弱点进展详细识别和评价,并对可能引起风险的水进展详细识别和评价,并对可能引起风险的水平进展评估,这通过不期望事件的潜在负面业平进展评估,这通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。根据务影响评估和他们发生的可能性来完成。根据风险评估的结果来识别和选择平安措施,将风风险评估的结果来识别和选择平安措施,将风险降低到可承受的水平。险降低到可承受的水
32、平。风险评估策略风险评估策略详细风险评估方法的优点是:有可能为所有系统识别出适当的平安措施;详细分析的结果可用于平安变更管理。这种方法的缺点是需要更多的时间、努力和专业知识。目前,世界各国推出的风险评估方法多属于这一类,如AS/NZS 4360、NISTSP800-30、OCTAVE以及我国的?信息平安风险评估指南?中所提供的方法。风险评估策略风险评估策略3 综合风险评估综合风险评估 基线风险评估消耗资源少、周期短、基线风险评估消耗资源少、周期短、操作简单,但不够准确,适合一般环境的操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但消耗评估;详细风险评估准确而细致,但消耗资源
33、较多,适合严格限定边界的较小范围资源较多,适合严格限定边界的较小范围内的评估。因而实践当中,组织多是采用内的评估。因而实践当中,组织多是采用二者结合的综合评估方式。二者结合的综合评估方式。风险评估策略风险评估策略ISO/IEC 13335-3提出了综合风险评估方法,其实施流程如下图:风险评估策略风险评估策略 综合评估方法将基线和详细风险评估的优势结合起来,既节省了评估所消耗的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,综合评估也有缺点:如果初步的高级风险分析不够准确,某些本来需要详细评估的系统也许会被忽
34、略,最终导致某些严重的风险未被发现。风险评估流程风险评估流程信息平安风险评估流程信息平安风险评估流程风险评估流程风险评估流程 总体上看,风险总体上看,风险评估可分为四个阶段,评估可分为四个阶段,第一阶段为风险评估第一阶段为风险评估准备;第二阶段为风准备;第二阶段为风险识别,第三阶段为险识别,第三阶段为风险评价,第四阶段风险评价,第四阶段为风险处理。为风险处理。风险评估流程风险评估流程1.风险评估的准备风险评估的准备风险评估的准备是整个风险评估过程有效性的保风险评估的准备是整个风险评估过程有效性的保证。其工作主要包括:证。其工作主要包括:1确定风险评估目标满足业务持续性需要确定风险评估目标满足业
35、务持续性需要2确定风险评估的对象和范围确定风险评估的对象和范围3组建团队。组建团队。组建适当的风险评估管理与实施团队,以支组建适当的风险评估管理与实施团队,以支持整个过程的推进持整个过程的推进4选择方法选择方法 应考虑评估的目的、范围、时间、效果、人应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体员素质等因素来选择具体 的风险判断方法,使之能够与组织环境和平的风险判断方法,使之能够与组织环境和平安要求相适应。安要求相适应。5获得支持获得支持6准备相关的评估工具扫描、测试、收集工准备相关的评估工具扫描、测试、收集工具具风险评估流程风险评估流程2.资产识别与评价资产识别与评价(1)资产
36、识别资产识别 资产识别是风险识别的必要环节。资资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉产识别的任务就是对确定的评估对象所涉及或包含的资产进展详细的标识。资产识及或包含的资产进展详细的标识。资产识别过程中要特别注意无形资产的遗漏,同别过程中要特别注意无形资产的遗漏,同时还应注意不同资产间的相互依赖关系,时还应注意不同资产间的相互依赖关系,关系严密的资产可作为一个整体来考虑,关系严密的资产可作为一个整体来考虑,同一中类型的资产也应放在一起考虑。同一中类型的资产也应放在一起考虑。资产识别的方法主要有访谈、现场调资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。查、问卷
37、、文档查阅等。风险评估流程风险评估流程(2)资产评价资产评价 资产的评价是对资产的价值或重要程度进资产的评价是对资产的价值或重要程度进展评估,资产本身的货币价值是资产价值的表展评估,资产本身的货币价值是资产价值的表达,但更重要的是资产对组织关键业务的顺利达,但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量,资产评价资产不能以货币形式的价值来衡量,资产评价很难以定量的方式来进展,多数情况下只能以很难以定量的方式来进展,多数情况下只能以定性的形式,依据重要程度的不同划分等级。定性的形式,依据重要程度的
38、不同划分等级。通常信息资产的机密性、完整性、可用性、通常信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的平安属可审计性和不可抵赖性等是评价资产的平安属性。可以先分别对资产在以上各方面的重要程性。可以先分别对资产在以上各方面的重要程度进展评估,然后通过一定的方法进展综合度进展评估,然后通过一定的方法进展综合,可可得资产的综合价值加权评估得资产的综合价值加权评估风险评估流程风险评估流程赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害 4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组
39、织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等资产机密性赋值表资产机密性赋值表风险评估流程风险评估流程威胁识别与评估威胁识别与评估(1)威胁识别威胁识别 威胁是构成风险的必要组成局部,因而威胁是构成风险的必要组成局部,因而威胁识别是风险识别的必要环节,威胁识威胁识别是风险识别的必要环节,威胁识别的任务是对组织资产面临的威胁进展全别的任务是对组织资产面临的威胁进展全面的标识。威胁识别可从威胁源进展分析,面的标识。威胁识别可从威胁源进展分析,也可
40、根据有关标准、组织所提供的威胁参也可根据有关标准、组织所提供的威胁参考目录进展分析。考目录进展分析。风险评估流程风险评估流程人人类类利利用用网网络络访访问问的的威威胁胁树树5个属性风险评估流程风险评估流程系系统统故故障障威威胁胁树树风险评估流程风险评估流程3.威胁识别与评估威胁识别与评估(2)威胁评估威胁评估 平安风险的大小是由平安事件发生的可能平安风险的大小是由平安事件发生的可能性以及它造成的影响决定,平安事件发生的性以及它造成的影响决定,平安事件发生的可能性与威胁出现的频率有关,而平安事件可能性与威胁出现的频率有关,而平安事件的影响那么与威胁的强度或破坏能力有关,的影响那么与威胁的强度或破
41、坏能力有关,如地震的等级或破坏力等。威胁评估就是对如地震的等级或破坏力等。威胁评估就是对威胁出现的频率及强度进展评估,这是风险威胁出现的频率及强度进展评估,这是风险评估的重要环节。评估者应根据经历和或评估的重要环节。评估者应根据经历和或有关的统计数据来分析威胁出现的频率及其有关的统计数据来分析威胁出现的频率及其强度或破坏能力。强度或破坏能力。三个依据:以往发生的威胁、现实检测出来三个依据:以往发生的威胁、现实检测出来的威胁、行业威胁的威胁、行业威胁风险评估流程风险评估流程威胁赋值表威胁赋值表等级标识定义5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过4高威胁出现的频率
42、较高,在大多数情况下很有可能会发生或者可以证实多次发生过3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过2低威胁出现的频率较小,一般不太可能发生,也没有被证实发生过1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生风险评估流程风险评估流程4.脆弱点识别与评估脆弱点识别与评估 1脆弱点识别脆弱点识别 脆弱点识别也称为弱点识别,弱点是资脆弱点识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。而单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不且如果系统足够强健,再
43、严重的威胁也不会导致平安事件,并造成损失。会导致平安事件,并造成损失。脆弱点识别主要从技术和管理两个方面脆弱点识别主要从技术和管理两个方面进展,技术脆弱点涉及物理层、网络层、进展,技术脆弱点涉及物理层、网络层、系统层、应用层等各个层面的平安问题。系统层、应用层等各个层面的平安问题。管理脆弱点又可分为技术管理和组织管理管理脆弱点又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者两方面,前者与具体技术活动相关,后者与管理环境相关。与管理环境相关。风险评估流程风险评估流程脆弱点识别脆弱点识别 类型识别对象识别内容技术脆弱点物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防
44、雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器(含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱点技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务
45、连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性风险评估流程风险评估流程脆弱点识别脆弱点识别 资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的局部。需要注意的是,不正确的、起不到应有作用的或没有正确实施的平安措施本身就可能是一个弱点。脆弱点识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱点的严重程度进展评估。脆弱点识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员 脆弱点识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。风险评估流程风险评估流程2脆弱
46、点评估脆弱点评估 脆弱点评估就是是对脆弱点被利用后对资产损害程度、脆弱点评估就是是对脆弱点被利用后对资产损害程度、技术实现的难易程度、弱点流行程度进展评估,评估的技术实现的难易程度、弱点流行程度进展评估,评估的结果一般都是定性等级划分形式,综合的标识脆弱点的结果一般都是定性等级划分形式,综合的标识脆弱点的严重程度。也可以对脆弱点被利用后对资产的损害程度严重程度。也可以对脆弱点被利用后对资产的损害程度以及被利用的可能性分别评估,然后以一定方式综合。以及被利用的可能性分别评估,然后以一定方式综合。风险评估流程风险评估流程2脆弱点严重程度赋值脆弱点严重程度赋值 等级标识定义5很高如果被威胁利用,将对
47、资产造成完全损害4高如果被威胁利用,将对资产造成重大损害3中如果被威胁利用,将对资产造成一般损害 2低如果被威胁利用,将对资产造成较小损害 1很低如果被威胁利用,将对资产造成的损害可以忽略 风险评估流程风险评估流程5.已有平安措施确实认已有平安措施确实认 平安措施可以分为预防性平安措施和保护平安措施可以分为预防性平安措施和保护性平安措施两种。性平安措施两种。预防性平安措施可以降低威胁利用脆弱点预防性平安措施可以降低威胁利用脆弱点导致平安事件发生的可能性。这可以通过两个导致平安事件发生的可能性。这可以通过两个方面的作用来实现,方面的作用来实现,1减少威胁出现的频率,如通过立法减少威胁出现的频率,
48、如通过立法或健全制度加大对员工恶意行为的惩罚,可以或健全制度加大对员工恶意行为的惩罚,可以减少员工成心行为威胁出现的频率,通过平安减少员工成心行为威胁出现的频率,通过平安培训可以减少无意行为导致平安事件出现的频培训可以减少无意行为导致平安事件出现的频率;率;2减少脆弱点,如及时为系统打补丁、减少脆弱点,如及时为系统打补丁、对硬件设备定期检查能够减少系统的技术脆弱对硬件设备定期检查能够减少系统的技术脆弱点等。点等。风险评估流程风险评估流程5.已有平安措施确实认已有平安措施确实认 对已采取的平安措施进展确认,至少有两对已采取的平安措施进展确认,至少有两个方面的意义。一方面,这有助于对当前信息个方面
49、的意义。一方面,这有助于对当前信息系统面临的风险进展分析;另一方面,通过对系统面临的风险进展分析;另一方面,通过对当前平安措施确实认,分析其有效性,对有效当前平安措施确实认,分析其有效性,对有效的平安措施继续保持,以防止不必要的工作和的平安措施继续保持,以防止不必要的工作和费用,防止平安措施的重复实施。费用,防止平安措施的重复实施。风险评估流程风险评估流程6.风险分析风险分析 风险分析就是利用资产、威胁、脆弱风险分析就是利用资产、威胁、脆弱点识别与评估结果以及已有平安措施确实点识别与评估结果以及已有平安措施确实认与分析结果,对资产面临的风险进展分认与分析结果,对资产面临的风险进展分析。析。1
50、1风险计算风险计算2 2风险等级风险等级3 3风险处理方案风险处理方案风险评估流程风险评估流程1风险计算风险计算 在完成了资产识别、威胁识别、脆弱性识别在完成了资产识别、威胁识别、脆弱性识别,以及对已有平安措施确认后,应采用适当的方法,以及对已有平安措施确认后,应采用适当的方法与工具确定威胁利用脆弱性导致平安事件发生的可与工具确定威胁利用脆弱性导致平安事件发生的可能性。综合平安事件所作用的资产价值及脆弱性的能性。综合平安事件所作用的资产价值及脆弱性的严重程度,判断平安事件造成的损失对组织的影响严重程度,判断平安事件造成的损失对组织的影响,即平安风险。,即平安风险。风险评估流程风险评估流程1风险
