当前位置:文档之家› 信息安全风险评价与风险管理

信息安全风险评价与风险管理


- 11 -
All rights reserved ? 2006
我国信息安全风险评估标准发展历程
2001年,随着GB/T 18336的正式发布,从风险的角度来认识、理解信 息安全也逐步得到了业界的认可。
2003年,国务院信息化办公室成立了风险评估研究课题组,对风险评估 相关问题进行研究。
2004年,提出了《信息安全风险评估指南》标准草案 ,其规定了风险评 估的一些内容和流程,基本与SP800-30中的内容一致。
控制措施 ; ? 提出风险评估的要求,并未对适用于信息系统的风险评估方法和管理
方法做具体的描述。
OCTAVE :Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework ? 卡耐基梅隆大学软件工程研究所(CMU/SEI )开发的一种综合的、系
信息安全风险评估与风险管理
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-2 -
All rights reserved ? 2006
信息安全的定义
机密性(integrity ): ? 确保该信息仅对已授权访问的人们才可访问 ? 只有拥有者许可,才可被其他人访问 完整性(confidentiality ): ? 保护信息及处理方法的准确性和完备性; ? 不因人为的因素改变原有的内容,保证不被非法改动和销毁 可用性(availability ): ? 当要求时,即可使用信息和相关资产。 ? 不因系统故障或误操作使资源丢失。 ? 响应时间要求、故障下的持续运行。 其他:可控性、可审查性
后果 风险
可能性
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-9 -
All rights reserved ? 2006
国外相关信息安全风险评估标准简介(1)
ISO 27001 :信息安全管理体系规范、ISO 17799 信息安全管理实践指南 ? 基于风险管理的理念,提出了11个控制大类、34 个控制目标和133 个
完整性、可用性或合法使用所造成的危险。
-4 -
All rights reserved ? 2006
Key word II
? 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。
? 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。
? 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点,导致资产的
- 10 -
All rights reserved ? 2006
国外相关信息安全风险评估标准简介(2)
AS/NZS 4360:1999 风险管理
? 澳大利亚和新西兰联合开发的风险管理标准 ? 将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的
方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。 ? 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
《信息安全风险评估规范》标准操作的主 要内容
引言 定义与术语 风险评估概述 风险评估流程及模型 风险评估实施 ? 资产识别 ? 脆弱性识别 ? 威胁识别 ? 已有安全措施确认 风险评估在信息系统生命周期中的不同要求 风险评估的形式及角色 附录
- 13 -
All rights reserved ? 2006
统的信息安全风险评估方法
? 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别 基础设施脆弱性、决定安全风险管理策略。
? OCTAVE 实施指南(OCTAVESM Catalog of Practices, Version 2.0 ),该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。
2005年,国信办在全国4个省市和3个行业进行风险评估的试点工作,根 据试点结果对《信息安全风险评估指南》 进行了修改。
2005~2006年,通过了国家标准立项的一系列程序,目前已进入正式发 布阶段。正式定名为:信息技术 信息安全风险评估规范。
- 12 -
All rights reserved ? 2006
标准内容:引言
提出了风险评估的作用、定位及目的。
-3 -
All rights reserved ? 2006
Key words I
信息安全:信息的保密性、完整性、可用性的保持。
风险评估:对信息和信息处理设施的威胁,影响和薄弱 点以及威胁发生的可能性的评估。
风险管理:以可接受的费用识别、控制、降低或消除可 能影响信息系统安全的风险的过程。
威胁:是指某个人、物、事件或概念对某一资源的保密性、
丢失或损害的潜在可能性,即特定威胁事件发生 rights reserved ? 2006
风险评估的目的和意义
认识现有的资产及其价值 对信息系统安全的各个方面的当前潜在威胁、弱点和影响进 行全面的评估 通过安全评估,能够清晰地了解当前所面临的安全风险,清 晰地了解信息系统的安全现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和翔 实的依据
-6 -
All rights reserved ? 2006
信息系统风险模型
所有者 攻击者
对策
漏洞
威胁
风险
资产
-7 -
All rights reserved ? 2006
风险计算依据
资产拥有者
信息资产 价值
威胁来源
弱点 难易程度
威胁
可能性
影响
严重性
-8 -
All rights reserved ? 2006
ISO/IEC TR 13335信息技术安全管理指南 ? 提出了风险评估的方法、步骤和主要内容。 ? 主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确
认、风险计算等过程。
NIST SP800-30:信息技术系统风险管理指南 ? 提出了风险评估的方法论和一般原则,
? 风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是 评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级 别的过程。
相关主题