Noriu/CISP
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
9f68c700aa
CISP/03_第三章 信息安全管理/3.2 信息安全风险管理.md

145 lines
8.2 KiB
Markdown
Raw Normal View History

2024年9月12日 15:13:51
2024-09-12 15:13:49 +08:00
# 信息安全风险管理
2024年9月21日 14:36:01
2024-09-21 14:36:00 +08:00
> **一、风险管理概述**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>信息安全风险、风险管理的概念;<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>信息安全风险管理的作用和价值。
>
> **二、常见风险管理模型**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>COS0报告、IS031000、COBIT等风险管理模型的作用。
>
> **三、安全风险管理基本过程**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容。
2024年9月12日 15:13:51
2024-09-12 15:13:49 +08:00
### 一、风险管理基本概念
#### 1、风险<span style="background-color:yellow;">事态的概率及其结果的组合</span>
- **风险是客观存在**
- **风险的基本属性**
1. 风险发生的概率P
2. 风险一旦发生所带来的影响/后果I
- **风险的特征**
1. 随机性
2. 相对性
- **<span style="color:red;">风险管理</span>**是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化。
- **风险的识别、评估和优化**
#### 2、风险管理的价值
- 安全措施的<span style="color:red;">成本</span>与资产<span style="color:red;">价值</span>之间的<span style="color:red;">平衡</span>
2024年9月12日 15:17:39
2024-09-12 15:17:37 +08:00
> <span style="color:red; background-color:yellow; font-size:24px !important;">基于风险的思想是所有信息系统安全保障工作的核心思想!</span>
2024年9月12日 15:13:51
2024-09-12 15:13:49 +08:00
### 二、常见风险管理模型
#### 1、内部控制整合框架(COSO报告)
- <span style="color:red;">三个目标</span>:财务报告可靠性、经验效率和效果、合规性
- <span style="color:red;">五个管理要素</span>:内制环境、风险评估、控制活动、信息与沟通、监控
#### 2、ISO 31000
- 为所有与风险管理相关的操作提供最佳实践结构和指导
#### 3、<span style="background-color:yellow;">COBIT</span>
- 为信息系统和技术的治理及控制过程提供<span style="color:red;">最佳实践</span>
- 组件:框架、流程描述、控制目标、管理指南、成熟度模型
> 信息安全管理的国际标准ISO 27001<br>
> 风险管理的国际标准ISO 31000<br>
> 质量管理的国际标准ISO 9000<br>
> IT服务管理的国际标准ISO 20000
2024年9月12日 16:35:41
2024-09-12 16:35:17 +08:00
### 三、安全风险管理基本过程(必考)
2024年9月12日 15:13:51
2024-09-12 15:13:49 +08:00
#### <span style="background-color:yellow;">1、GB/Z 24364《信息安全风险管理指南》</span>
**<span style="color:red;">四个阶段 </span>&& <span style="color:red;">两个贯穿</span>**
![image-20240912142027176](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240912142027176.png)
#### <span style="background-color:cyan;">2、四个阶段</span>
- **第一阶段 背景建立**
背景建立是信息安全风险管理的<span style="color:red;">第一个步骤</span>,确定风险管理的<span style="color:red;">对象</span><span style="color:red;">范围</span>,确立实施风险管理的<span style="color:red;">准备</span>,进行相关信息的<span style="color:red;">调查</span><span style="color:red;">分析</span>
- 风险管理准备:确定对象、组建团队、制定计划、获得支持
- 信息系统调查:信息系统的业务目标、技术和管理上的特点
- 信息系统分析:信息系统的体系结构、关键要素
- 信息安全分析:分析安全要求、分析安全环境
- **第二阶段 风险评估**
信息安全风险管理要<span style="color:red;">依靠</span>风险评估的结果来确定随后的<span style="color:red;">风险处理</span><span style="color:red;">批准监督</span>活动。
- 风险<span style="color:red;">评估准备</span>:制定风险评估方案、选择评估方法
- 风险<span style="color:red;">要素识别</span>:发现系统存在的<span style="color:red;">威胁</span><span style="color:red;">脆弱性</span><span style="color:red;">控制措施</span>
<span style="background-color:yellow;">风险评估的要素:</span>
1. IT资产任何影响IT交付的资源人、财、物
2. 脆弱性 / 漏洞:资产本身固有的缺陷;
3. 威胁:对脆弱性的利用;
4. 风险:脆弱性和威胁的组合;
5. 控制措施:对风险的应对方法。
- <span style="color:red;">风险分析</span>判断风险发生的可能性和影响的程度PI分析
- 风险<span style="color:red;">结果判定</span>:综合分析结果判定风险等级
- **第三阶段 风险处理**
风险处理是为了将风险始终控制在<span style="color:red;">可接受</span>的范围内。
- <span style="color:red;">现存风险判断</span>:判断信息系统中哪些风险可以接受哪些不可以;
- <span style="color:red;">处理目标确认</span>:不可接受的风险需要控制到怎样的程度;
- <span style="color:red;">处理措施选择</span>:选择风险处理方式,确定风险控制措施;
- <span style="color:red;">处理措施实施</span>:制定具体安全方案,部署控制措施
- **第四阶段 批准监督**
- <span style="color:red;">批准</span>:是指机构的<span style="color:red;">决策层</span>依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的<span style="color:red;">决定</span>
- <span style="color:red;">监督</span>:是指<span style="color:red;">检查</span>机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险。
#### <span style="background-color:orange;">3、两个贯穿</span>
- **监控审查**
<span style="color:red;">监控与审查</span>可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理<span style="color:red;">主循环的有效性</span>
> 类似信息系统工程中的监理
- <span style="background-color:yellow;">信息安全工程监理模型</span>
信息安全工程监理的信息安全工程监理模型由三部分组成,即
1. 咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)
2. 监理咨询阶段过程
3. 控制管理措施(“四控制、三管理、一协调”,即质量控制、进度控制、成本控制、变更控制、合同管理、信息管理和安全管理,组织协调)
- <span style="background-color:yellow;">信息安全工程监理的职责</span>
- <span style="color:red;">四控</span>:进度控制,质量控制,成本控制(投资控制),变更控制
- <span style="color:red;">三管</span>:合同管理,安全管理,信息管理
- <span style="color:red;">一协调</span>:协调甲方、总包及设备材料供应方的关系
- **沟通咨询**
通过畅通的交流和充分的沟通,保持行动的<span style="color:red;">协调</span><span style="color:red;">一致</span>;通过有效的培训和方便的咨询,保证行动者具有<span style="color:red;">足够的知识</span><span style="color:red;">技能</span>,就是沟通咨询的意义所在
| 沟通咨询 |
| ------------------------------------------------------------ |
| • <span style="color:red;">与领导沟通</span>,以得到理解和批准<br /><span style="color:red;">单位内部各有关部门</span>相互沟通,以得到理解和协作<br /><span style="color:red;">与支持单位和系统用户</span>沟通,以得到了解和支持 |
| 为所有层面的相关人员提供<span style="color:red;">咨询和培训</span>等,以提高人员的安全意识、知识和技能 |
- 沟通的要素
1. 沟通要有目标
2. 沟通要有对象
3. 沟通要有内容
4. 沟通要有反馈
- 沟通的方向
1. 向上沟通:要共识
2. 向下沟通:要落实
3. 水平沟通:要支持 / 协调
Reference in New Issue Copy Permalink