❖ 所谓安全风险就是特定的威胁利用资产的一种或 多种脆弱性，导致资产的丢失或损害的潜在可能 性，
❖ 即特定威胁事件发生的可能性与后果的结合。
❖ 通过确定资产价值及相关威胁与脆弱性的水平， 可以得出风险的度量值。
10.2.2 风险管理的相关概念
❖ 即对信息和信息处理设施的威胁、影响 （指安全事件所带来的直接和间接损失） 和脆弱性及三者发生的可能性的评估。
用资源。 ❖ 在信息安全体系范围内，一项非常重要的工作就
是为资产编制清单。 ❖ 每项资产都应该清晰地定义，合理地估价，
❖ 在组织中明确资产所有权关系，对资产进行安全 分类，并以文件形式详细记录在案。
10.2.1 资产相关概念
❖ 2．资产的价值 ❖ 资产价值是指经济实体所，有必要对资产进行估价，
信息安全风险管理
信息安全风险管理
10.1 风险管理概述
❖ “知己知彼，百战不殆。 ❖ 知己而不知彼，即便获得胜利也损失惨重。
既不知已又不知彼，每仗必败。”
❖ 为了取得信息安全管理的胜利，必须知己知 彼。
10.1.1 知己
❖ 首先必须识别、检查和熟悉机构中当前的信 息及系统，这是不言而喻的。
❖ 要想保护资产就必须熟悉它们是什么，它们 对机构的价值，以及可能有哪些漏洞。
❖ 机构中的每一个利益团体都有责任管理机构 面临的风险，可以从以下三方面的分析中看 出：
❖ 1.信息安全 ❖ 因为信息安全团体的成员最了解把风险带入
机构的威胁和攻击，所以他们常常在处理风 险时处于领导地位。
10.1.3 利益团体的作用
❖ 2.管理人员 ❖ 管理人员和用户经过适当的培训，会对机构面临
的威胁有着清醒的认识，在早期的检测和响应阶 段起一定的作用。 ❖ 3. 信息技术 ❖ 利益团体必须建立安全的系统，并且安全的操作 这些系统。 ❖ 例如，IT操作应进行合理的备份，以避免硬盘故 障引起的风险。
10.2 风险管理的基本概念
❖ 10.2.1 资产相关概念 ❖ 1．资产 ❖ 所谓资产就是被组织赋予了价值、需要保护的有
10.2.2 风险管理的相关概念
❖ 6．适用性声明 ❖ 适用性声明是一个包含组织所选择的控制目标与
程，即利用适当的风险评估工具， ❖ 包括定性和定量的方法，确定资产风险等级
和优先控制顺序。
10.2.2 风险管理的相关概念
❖ 2．风险管理 ❖ 所谓风险管理就是以可接受的费用识别、控
制、降低或消除可能影响信息系统的安全风 险的过程。 ❖ 风险管理通过风险评估来识别风险大小，通 过制定信息安全方针，使风险被避免、转移 或降至一个可被接受的水平。 ❖ 风险管理还应考虑控制费用与风险之间的平 衡。风险管理过程如下图所示。
险的需求； ❖ ·组织、贸易伙伴、签约客户等需要遵守的法律
法规及合同的要求； ❖ ·组织制订支持业务运作与处理的需求。
10.2.2 风险管理的相关概念
❖ 4．安全控制 ❖ 正如BS7799中所定义的，安全控制就是保护组
织资产、防止威胁、减少脆弱性等一系列安全实 践、过程和机制。 ❖ 为获得有效的安全，常常需要把多种安全控制结 合起来使用，实现监测、威慑、防护等多种功能。 ❖ 5．剩余风险 ❖ 即实施安全控制后，仍然存在的安全风险。
在原因。 ❖ 例如，网络系统可能受到来自计算机病毒和黑客
攻击的威胁。 ❖ 4．脆弱性 ❖ 所谓脆弱性就是资产的弱点或薄弱点，这些弱点
可能被威胁利用，造成安全事件的发生，从而对 资产造成损害。 ❖ 脆弱性本身并不会引起损害，它只是为威胁提供 了影响资产安全性的条件。
10.2.2 风险管理的相关概念
❖ 1．安全风险
❖ 资产在这里是指信息及使用、存储和传输这 些信息的系统。
10.1.2 知彼
❖ 知彼，这就意味着识别、检查并熟悉机构面 临的威胁。
❖ 必须确定出对机构信息资产的安全影响最直 接的威胁。
❖ 然后，通过对这些威胁的理解，按照每项资 产对于机构的重要程度，建立一个威胁等级 列表。
10.1.3 利益团体的作用
风险管 理
风险识 别
风险评 估
图 风险管理过程
风险控 制
10.2.2 风险管理的相关概念
❖ 在风险管理过程中，有几个关键的问题需要考虑。 ❖ 第一，要确定保护的对象是什么？它的直接和间
接价值如何？ ❖ 第二，资产面临哪些潜在威胁？导致威胁的问题
所在？威胁发生的可能性有多大？ ❖ 第三，资产中存在哪些弱点可能会被威胁所利用？
利用的容易程度又如何？ ❖ 第四，一旦威胁事件发生，组织会遭受怎样的损
失或者面临怎样的负面影响？ ❖ 最后，组织应该采取怎样的安全措施才能将风险
带来的损失降到最低？解决以上问题的过程，就 是风险管理的过程。
10.2.2 风险管理的相关概念
❖ 这里需要注意，在谈到风险管理的时候，人们经 常提到的还有风险分析这个概念。
❖ 作为风险管理的基础，风险评估是组织确 定信息安全需求的一个重要途径，属于组 织信息安全管理体系策划的过程。
10.2.2 风险管理的相关概念
❖ 风险评估的主要任务包括： ❖ ·识别组织面临的各种风险； ❖ ·评估风险概率和可能带来的负面影响； ❖ ·确定组织承受风险的能力； ❖ ·确定风险降低和控制的优先等级； ❖ ·推荐风险降低对策。 ❖ 风险评估也就是确认安全风险及其大小的过
❖ 其价值大小不仅仅要考虑其自身的价值，
❖ 还要考虑其对组织机构业务的重要性、在一定条 件下的潜在价值以及与之相关的安全保护措施。
10.2.1 资产相关概念
❖因此，在信息系统中资产的价值 可以用
❖信息或其他技术资产的泄漏、非 法修改或被破坏等造成的影响的 程度来衡量。
10.2.1 资产相关概念
❖ 3．威胁 ❖ 威胁是指可能对资产或组织造成损害的事故的潜
❖ 实际上，对于信息安全风险管理来说，风险分析 和风险评估基本上是同义的。
❖ 当然，如果细究起来，风险分析应该是处理风险 的总体战略，
❖ 风险评估只是风险分析中的一项工作，即对可识 别的风险进行评估，以确定其可能造成的危害。
10.2.2 风险管理的相关概念
❖ 3．安全需求
❖ 在信息安全体系中，要求组织确认如下安全需求： ❖ ·评估出组织所面临的安全风险，并控制这些风