a.信息安全是国家安全的需要 b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 3、如何确定组织信息安全的要求 a.法律法规与合同要求
b.风险评估的结果(保护程度与控制方式) c.组织的原则、目标与要求 4.我国在信息安全管理方面存在的问题
宏观:(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.
(2)管理问题。(包括三个层次:组织建设、制度建设和人员意识)
(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权. 微观:(1)缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。 (3)安全管理缺乏系统管理的思想。
5.系统的信息安全管理原则:制订信息安全方针原则;风险评估原则;费用与风险平衡原则;预防为主原则;商务持续性原则;动态管理原则;全员参与的原则; PDCA原则
6、系统信息安全管理与传统比较
系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。
6.与风险评估有关的概念
a.威胁,是指可能对资产或组织造成损害的事故的潜在原因。 b.薄弱点,是指资产或资产组中能被威胁利用的弱点。
威胁与薄弱点的关系:威胁是利用薄弱点而对资产或组织造成损害的. c.风险,即特定威胁事件发生的可能性与后果的结合。
d.风险评估,对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估.它是确
认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析. 7.与风险管理有关的概念
风险管理,以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。
a.安全控制,降低安全风险的惯例、程序或机制。 b.剩余风险,实施安全控制后,剩余的安全风险 c.适用性声明,适用于组织需要的目标和控制的评述 8.风险评估与管理的术语关系图
风险评风险控制 降低风险 风 险 管 理 威 胁 利用 薄弱点 防范 导致 导致 暴露 安全控制 降低 安全风险 资产 达到 指出 增加 具有 安全要求 资产价值和潜在影响 (其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)
9.风险评估过程 a.风险评估应考虑的因素 (1)信息资产及其价值
(2)对这些资产的威胁,以及他们发生的可能性 (3)薄弱点
(4)已有的安全控制措施 b.风险评估的基本步骤
(1)按照组织商务运作流程进行信息资产识别, 并根据估价原则对资产进行估价 (2)根据资产所处的环境进行威胁识别与评价
(3)对应每一威胁,对资产或组织存在的薄弱点 进行识别与评价 (4)对已采取的安全控制进行确认
(5)建立风险测量的方法及风险等级评价原则, 确定风险的大小与等级
10.资产识别与估价
资产识别时常应考虑:(1)数据与文档 (2)书面文件 (3)软件资产 (4)实物资产(5)人员 (6)服务 11.资产估价的概念
资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。在对资产进行估价时,不仅要考虑资产的账面价格,更重要的是考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。 12.PTV=PT*PV
式中 PTV——考虑资产薄弱点因素的威胁发生的可能性;
PT——未考虑资产薄弱点因素的威胁发生的可能性,即这一威胁发生可能性的组织、行业、地区或社会均值;
PV——资产的薄弱点被威胁利用的可能性 13.威胁的评价
评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同,即导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要度)为限。
威胁的潜在影响I=资产相对价值V*价值损失程度CL
价值损失程度CL是一个小于等于1大于0的系数,资产遭受安全事故后,其价值可能完全
丧失(即CL=1),但不可能对资产价值没有任何影响(即CL≠0)。为简化评价过程,可以用资产的相对价值代替其所面临的威胁产生的影响,即用V代替I,让CL=1。 14.风险评估(重点)
①风险测量方法—风险大小和等级评价原则
风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数: R=R(PT,PV,I)
其中:R---资产受到某一威胁所拥有的风险 例2-3 使用风险矩阵表进行测量(预先价值矩阵)
例2-4 二元乘法风险测量,计算公式为:R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险,风险大小为两者因素值之乘积 例2-5 关于网络系统的风险测量举例
R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中:V----系统的重要性 PO---防止威胁发生的可能性 , PTV = 1-PO
PD---防止系统性能降低的可能性, CL= 1-PD 例2-6,7可接受的和不可接受的风险区分方法 ③风险优先级别确定
例2-8 利用区间的方法将例2-1计算的风险进行等级划分 15.安全控制的识别和选择:
选择依据①以风险评估的结果为依据②以费用因素为依据 16.风险控制:
降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点⑤减少威胁可能的影响程度⑥探测有害事故,对其做出反应并恢复,属及时捕捉威胁 17.基本的风险评估
优点:(1)风险评估所需资源最少,简便易行
(2)同样或类似的控制能被许多信息安全管理体系所采用,不需要耗费很 大的精力。如果多个商业要求类似,并且在相同的环境中运作,这些控制可以提供一个经济有效的解决方案。
缺点:(1)如果安全水平被设置的太高,就可能需要过多的费用或控制过度;如果水平太低,对一些组织来说,可能会得不到充分的安全。(由于方法是基本的,不细,较粗,因此,评估结果可能也较粗,不够精确,有一定的出入)
(2)对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级,评估最初的控制是否仍然充分就有一定的困难。 18.详细的风险评估
优点:(1)能获得一个更精确的安全风险的认识,从而更为精确地识别反映组织安全要求的安全水平。
(2)可以从详细的风险评估中获得额外信息,使与组织更改相关的安全管理受益。 缺点:(1)需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界,需要管理者持续关注,因而需要花费相当的时间、精力和技术才能获得可行的结果。 (2)不能把一个系统的控制方案简单移植到另一个系统中,甚至是一个以为类似的系统中。.
19.风险评估和管理方法的选择应考虑的因素 ⑴商务环境 ⑵商务性质和重要性
⑶对支持组织商务的信息系统的技术性和非技术性的依赖 ⑷商务及其支持系统、应用软件和服务的复杂性 ⑸商业伙伴和外部业务以及合同关系的数量 20. 风险管理实施惯例
十大最佳安全控制惯例:安全方针\\安全组织\\资产分类\\人员安全\\实物与环境安全\\通信与运作管理\\访问控制\\系统开发与维护\\商务持续性管理\\依从(或称符合性)
因篇幅问题不能全部显示,请点此查看更多更全内容