风险评估与管理
风险评估与管理
1. 与风险评估和风险管理相关的概念解析 2. 信息安全风险管理的一般过程 3. 风险评估与风险管理的其它问题
1 概念解析
1.1 与 过程相关的概念 1.2 与 要素相关的概念
பைடு நூலகம்
① 风险 ② 风险管理 ③ 风险评估 ④ 风险分析 ⑤ 风险评价 ⑥ 风险处理
⑦ 资产 ⑧ 威胁 ⑨ 脆弱性 ⑩ 防护措施
概念解析4 - 风险分析（续）
步骤2：可能性的定性量度
等 描述 详细描述 级
A 几乎 预期在大多数情况 肯 下发生 定
B 很可 在大多数情况下很 能 可能会发生
C 可能 在某个时间可能会 发生
D 不太 在某个时间能够发 可生 能
概念解析4 - 风险分析（续）
步骤3：从而得出风险分析矩阵
其中：E：要求立即采取措施 H：需要高级管理部门的注意 M：必须规定管理责任 L：用日常程序处理
概念解析3 - 风险评估（续）
区分风险评估和风险管理
风险管理是把整个组织内的风险降低到可接受水平的整个过程。 风险管理是一个持续的周期，通常以一定的间隔重新开始，来 更新流程中各个阶段的数据。风险管理是一个持续循环，不断 上升的过程。
风险评估是确定组织面临的风险并确定其优先级的过程，是风 险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相 关的事件在企业内发生时，如变动业务方法、发现新的漏洞等， 组织都可能会启动风险评估。
定性风险分析示例（此示例来源于 ISO/IEC13335-3）
概念解析4 - 风险分析（续）
步骤1：结果或影响的定性量度
等级 1 2 3 4 5
描述 可以忽略 较小 中等 较大 灾难性
详详细描述 无伤害，低财物损失 立即受控制，中等财物损失 受控， 高财物损失 大伤害，失去生产能力，较大财物损失 持续能力中断，巨大财物损失
概念解析1 - 风险
风险（risk）
风险是指遭受损害或损失的可能 性，是实现一个事件的不想要的 负面结果的潜在因素。
对信息系统而言：两种因素造成 对其使命的实际影响：（1）一个 特定的威胁源利用或偶然触发一 个特定的信息系统脆弱性的概率； （2）上述事件发生之后所带来的 影响。
概念解析1 - 风险（续）
尽管评估风险的方法有很多，但是大多数方法都是 基于两种方法或两种方法的组合：定性的分析方法 和定量的分析方法。
概念解析4 - 风险分析（续）
定性分析方法
定性分析方法是最广泛使用的 风险分析方法。主要采用文字 形式或叙述性的数值范围来描 述潜在后果的大小程度及这些 后果发生的可能性。
该方法通常只关注威胁事件所 带来的损失，而忽略事件发生 的概率。
风险管理被认为是良好管理 的一个组成部分。
概念解析2 - 风险管理
对风险管理的过程而言，不同的方法或工具提供了不同 的步骤，但是信息安全风险管理可操作的相关过程和活 动一般都要包括：
实施安全计划 制定安全计划 选择安全措施 确定风险处理策略
风险评价 识别评估控制措施 识别评估脆弱性
识别评估威胁 识别评估资产
概念解析4 - 风险分析（续）
定量分析方法
定量分析方法在后果和可能性 分析中采用数值（不是定性分 行中所使用的叙述性数值范 围），并采用从各种各样的来 源中得到的数据。
定量分析步骤主要集中在现场 调查阶段，针对系统关键资产 进行定量的调查、分析，为后 续评估工作提供参考依据。
概念解析4 - 风险分析（续）
概念解析4 - 风险分析
风险分析(risk analysis)
风险分析是标识安全风险， 确定其大小和标识需要保护 措施的区域的过程，其目的 是分离可接受的小风险和不 能接受的大风险，为风险评 价和风险处理提供数据。
概念解析4 - 风险分析（续）
就风险分析的方法而言，目前应用中没有所谓的正 确或错误的方法。一个组织选择一个自己感觉顺手， 可以信任，且能产生可比较、可再现性的结果才是 最重要的。
ALE=ARO*SLE
概念解析4 - 风险分析（续）
两种方法的比较：
目前风险分析方法以定性分析为主。 由于定性的分析方法不是用数学或统计的工具将风险模
型化，因此一次风险评估的成败与执行者的经验有很大 的关系。 定量方法有一些固有的难以克服的明显缺点。 具体对比见下表：
概念解析4 - 风险分析（续）
概念解析4 - 风险分析（续）
定量风险分析的示例:
概念解析4 - 风险分析（续）
计算风险的年预期损失
ALE: Annual Risk Expectancy年预期损失
ARO: Annual Rate of Occurrence 年发生率 SLE: Single Loss Expectancy单一风险预期损失
比较：
定性分析 定量分析
优点
缺点
它可以对风险进行排序并能 没有对影响大小给出具体的定量
够对那些需要立即改善
度量，因此使得对控制进行
的环节进行标识
成本效益分析变得很困难。
对影响大小给出了度量，使 得可以使用成本效益分 析来控制成本
依赖于用来表示度量的数字范围， 定量影响分析的结果的含义 可能因而会比较模糊，还要 以定性的方式对结果做解释
概念解析5 - 风险评价
风险评价(risk evaluation)
在ISO/IEC GUIDE73将事 件定义为：
事件的概率及其结果的组合。 注1 通常，只有至少存在产 生不利结果可能性的情况下 才使用“风险”术语。 注2 在某些情况下，风险是 由偏离期望的结果或事件的 可能性引起的。
概念解析2 - 风险管理
风险管理(Risk management)
风险管理指标识、控制和消 除可能影响信息系统资源的 不确定事件或使这些事件降 至最少的全部过程。
确定评估范围
风险分析
风险处理
概念解析3 - 风险评估
风险评估(risk assessment)
风险评估指风险分析和风险评价的整个 过程。
风险评估是风险管理的基础，是组织确 定信息安全要求的途径之一，属于组织 信息安全管理体系策划的过程。
通过风险评估识别组织所面临的安全风 险并确定风险控制的优先等级，从而对 其实施有效控制，将风险控制在组织可 以接受的范围之内。