# 信息安全风险管理

> **一、风险管理概述**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>信息安全风险、风险管理的概念；<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>信息安全风险管理的作用和价值。
>
> **二、常见风险管理模型**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:green;">了解</span>COS0报告、IS031000、COBIT等风险管理模型的作用。
>
> **三、安全风险管理基本过程**<br>
> &nbsp;&nbsp;&nbsp;&nbsp;<span style="color:blue;">理解</span>风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容。

### 一、风险管理基本概念

#### 1、风险：<span style="background-color:yellow;">事态的概率及其结果的组合</span>

- **风险是客观存在**
- **风险的基本属性**
  1. 风险发生的概率（P）
  2. 风险一旦发生所带来的影响/后果（I）
- **风险的特征**
  1. 随机性
  2. 相对性
- **<span style="color:red;">风险管理</span>**是指导和控制一个组织相关风险的协调活动，其目的是确保不确定性不会使企业的业务目标发生变化。
- **风险的识别、评估和优化**

#### 2、风险管理的价值

- 安全措施的<span style="color:red;">成本</span>与资产<span style="color:red;">价值</span>之间的<span style="color:red;">平衡</span>

> <span style="color:red; background-color:yellow; font-size:24px !important;">基于风险的思想是所有信息系统安全保障工作的核心思想！</span>

### 二、常见风险管理模型

#### 1、内部控制整合框架(COSO报告)

- <span style="color:red;">三个目标</span>：财务报告可靠性、经验效率和效果、合规性
- <span style="color:red;">五个管理要素</span>：内制环境、风险评估、控制活动、信息与沟通、监控

#### 2、ISO 31000

- 为所有与风险管理相关的操作提供最佳实践结构和指导

#### 3、<span style="background-color:yellow;">COBIT</span>

- 为信息系统和技术的治理及控制过程提供<span style="color:red;">最佳实践</span>
- 组件：框架、流程描述、控制目标、管理指南、成熟度模型

> 信息安全管理的国际标准：ISO 27001<br>
> 风险管理的国际标准：ISO 31000<br>
> 质量管理的国际标准：ISO 9000<br>
> IT服务管理的国际标准：ISO 20000

### 三、安全风险管理基本过程（必考）

#### <span style="background-color:yellow;">1、GB/Z 24364《信息安全风险管理指南》</span>

**<span style="color:red;">四个阶段 </span>&& <span style="color:red;">两个贯穿</span>**

![image-20240912142027176](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240912142027176.png) 

#### <span style="background-color:cyan;">2、四个阶段</span>

- **第一阶段  背景建立**

  背景建立是信息安全风险管理的<span style="color:red;">第一个步骤</span>，确定风险管理的<span style="color:red;">对象</span>和<span style="color:red;">范围</span>，确立实施风险管理的<span style="color:red;">准备</span>，进行相关信息的<span style="color:red;">调查</span>和<span style="color:red;">分析</span>。

  - 风险管理准备：确定对象、组建团队、制定计划、获得支持
  - 信息系统调查：信息系统的业务目标、技术和管理上的特点
  - 信息系统分析：信息系统的体系结构、关键要素
  - 信息安全分析：分析安全要求、分析安全环境

- **第二阶段  风险评估**

  信息安全风险管理要<span style="color:red;">依靠</span>风险评估的结果来确定随后的<span style="color:red;">风险处理</span>和<span style="color:red;">批准监督</span>活动。

  - 风险<span style="color:red;">评估准备</span>：制定风险评估方案、选择评估方法

  - 风险<span style="color:red;">要素识别</span>：发现系统存在的<span style="color:red;">威胁</span>、<span style="color:red;">脆弱性</span>和<span style="color:red;">控制措施</span>

    <span style="background-color:yellow;">风险评估的要素：</span>

    1. IT资产：任何影响IT交付的资源（人、财、物）；
    2. 脆弱性 / 漏洞：资产本身固有的缺陷；
    3. 威胁：对脆弱性的利用；
    4. 风险：脆弱性和威胁的组合；
    5. 控制措施：对风险的应对方法。

  - <span style="color:red;">风险分析</span>：判断风险发生的可能性和影响的程度（PI分析）

  - 风险<span style="color:red;">结果判定</span>：综合分析结果判定风险等级

- **第三阶段  风险处理**

  风险处理是为了将风险始终控制在<span style="color:red;">可接受</span>的范围内。

  - <span style="color:red;">现存风险判断</span>：判断信息系统中哪些风险可以接受哪些不可以；
  - <span style="color:red;">处理目标确认</span>：不可接受的风险需要控制到怎样的程度；
  - <span style="color:red;">处理措施选择</span>：选择风险处理方式，确定风险控制措施；
  - <span style="color:red;">处理措施实施</span>：制定具体安全方案，部署控制措施

- **第四阶段  批准监督**

  - <span style="color:red;">批准</span>：是指机构的<span style="color:red;">决策层</span>依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的<span style="color:red;">决定</span>；
  - <span style="color:red;">监督</span>：是指<span style="color:red;">检查</span>机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险。

#### <span style="background-color:orange;">3、两个贯穿</span>

- **监控审查**

  <span style="color:red;">监控与审查</span>可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理<span style="color:red;">主循环的有效性</span>。

  > 类似信息系统工程中的监理

  - <span style="background-color:yellow;">信息安全工程监理模型</span>
    信息安全工程监理的信息安全工程监理模型由三部分组成，即
    1. 咨询监理支撑要素（组织结构、设施设备、安全保障知识、质量管理）
    2. 监理咨询阶段过程
    3. 控制管理措施（“四控制、三管理、一协调”，即质量控制、进度控制、成本控制、变更控制、合同管理、信息管理和安全管理，组织协调）
  - <span style="background-color:yellow;">信息安全工程监理的职责</span>
    - <span style="color:red;">四控</span>：进度控制，质量控制，成本控制（投资控制），变更控制
    - <span style="color:red;">三管</span>：合同管理，安全管理，信息管理
    - <span style="color:red;">一协调</span>：协调甲方、总包及设备材料供应方的关系

- **沟通咨询**

  通过畅通的交流和充分的沟通，保持行动的<span style="color:red;">协调</span>和<span style="color:red;">一致</span>；通过有效的培训和方便的咨询，保证行动者具有<span style="color:red;">足够的知识</span>和<span style="color:red;">技能</span>，就是沟通咨询的意义所在

  | 沟通咨询                                                     |
  | ------------------------------------------------------------ |
  | • <span style="color:red;">与领导沟通</span>，以得到理解和批准<br />• <span style="color:red;">单位内部各有关部门</span>相互沟通，以得到理解和协作<br />• <span style="color:red;">与支持单位和系统用户</span>沟通，以得到了解和支持 |
  | 为所有层面的相关人员提供<span style="color:red;">咨询和培训</span>等，以提高人员的安全意识、知识和技能 |

  - 沟通的要素
    1. 沟通要有目标
    2. 沟通要有对象
    3. 沟通要有内容
    4. 沟通要有反馈
  
  - 沟通的方向
    1. 向上沟通：要共识
    2. 向下沟通：要落实
    3. 水平沟通：要支持 / 协调