144 lines
8.1 KiB
Markdown
144 lines
8.1 KiB
Markdown
# 信息安全风险管理
|
||
|
||
> **一、风险管理概述**<br>
|
||
> <span style="color:green;">了解</span>信息安全风险、风险管理的概念;<br>
|
||
> <span style="color:blue;">理解</span>信息安全风险管理的作用和价值。
|
||
>
|
||
> **二、常见风险管理模型**<br>
|
||
> <span style="color:green;">了解</span>COS0报告、IS031000、COBIT等风险管理模型的作用。
|
||
>
|
||
> **三、安全风险管理基本过程**<br>
|
||
> <span style="color:blue;">理解</span>风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容。
|
||
|
||
### 一、风险管理基本概念
|
||
|
||
#### 1、风险:<span style="background-color:yellow;">事态的概率及其结果的组合</span>
|
||
|
||
- **风险是客观存在**
|
||
- **风险的基本属性**
|
||
1. 风险发生的概率(P)
|
||
2. 风险一旦发生所带来的影响/后果(I)
|
||
- **风险的特征**
|
||
1. 随机性
|
||
2. 相对性
|
||
- **<span style="color:red;">风险管理</span>**是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化。
|
||
- **风险的识别、评估和优化**
|
||
|
||
#### 2、风险管理的价值
|
||
|
||
- 安全措施的<span style="color:red;">成本</span>与资产<span style="color:red;">价值</span>之间的<span style="color:red;">平衡</span>
|
||
|
||
> <span style="color:red; background-color:yellow; font-size:24px !important;">基于风险的思想是所有信息系统安全保障工作的核心思想!</span>
|
||
|
||
### 二、常见风险管理模型
|
||
|
||
#### 1、内部控制整合框架(COSO报告)
|
||
|
||
- <span style="color:red;">三个目标</span>:财务报告可靠性、经验效率和效果、合规性
|
||
- <span style="color:red;">五个管理要素</span>:内制环境、风险评估、控制活动、信息与沟通、监控
|
||
|
||
#### 2、ISO 31000
|
||
|
||
- 为所有与风险管理相关的操作提供最佳实践结构和指导
|
||
|
||
#### 3、<span style="background-color:yellow;">COBIT</span>
|
||
|
||
- 为信息系统和技术的治理及控制过程提供<span style="color:red;">最佳实践</span>
|
||
- 组件:框架、流程描述、控制目标、管理指南、成熟度模型
|
||
|
||
> 信息安全管理的国际标准:ISO 27001<br>
|
||
> 风险管理的国际标准:ISO 31000<br>
|
||
> 质量管理的国际标准:ISO 9000<br>
|
||
> IT服务管理的国际标准:ISO 20000
|
||
|
||
### 三、安全风险管理基本过程(必考)
|
||
|
||
#### <span style="background-color:yellow;">1、GB/Z 24364《信息安全风险管理指南》</span>
|
||
|
||
**<span style="color:red;">四个阶段 </span>&& <span style="color:red;">两个贯穿</span>**
|
||
|
||
|
||
|
||
#### <span style="background-color:cyan;">2、四个阶段</span>
|
||
|
||
- **第一阶段 背景建立**
|
||
|
||
背景建立是信息安全风险管理的<span style="color:red;">第一个步骤</span>,确定风险管理的<span style="color:red;">对象</span>和<span style="color:red;">范围</span>,确立实施风险管理的<span style="color:red;">准备</span>,进行相关信息的<span style="color:red;">调查</span>和<span style="color:red;">分析</span>。
|
||
|
||
- 风险管理准备:确定对象、组建团队、制定计划、获得支持
|
||
- 信息系统调查:信息系统的业务目标、技术和管理上的特点
|
||
- 信息系统分析:信息系统的体系结构、关键要素
|
||
- 信息安全分析:分析安全要求、分析安全环境
|
||
|
||
- **第二阶段 风险评估**
|
||
|
||
信息安全风险管理要<span style="color:red;">依靠</span>风险评估的结果来确定随后的<span style="color:red;">风险处理</span>和<span style="color:red;">批准监督</span>活动。
|
||
|
||
- 风险<span style="color:red;">评估准备</span>:制定风险评估方案、选择评估方法
|
||
|
||
- 风险<span style="color:red;">要素识别</span>:发现系统存在的<span style="color:red;">威胁</span>、<span style="color:red;">脆弱性</span>和<span style="color:red;">控制措施</span>
|
||
|
||
<span style="background-color:yellow;">风险评估的要素:</span>
|
||
|
||
1. IT资产:任何影响IT交付的资源(人、财、物);
|
||
2. 脆弱性 / 漏洞:资产本身固有的缺陷;
|
||
3. 威胁:对脆弱性的利用;
|
||
4. 风险:脆弱性和威胁的组合;
|
||
5. 控制措施:对风险的应对方法。
|
||
|
||
- <span style="color:red;">风险分析</span>:判断风险发生的可能性和影响的程度(PI分析)
|
||
|
||
- 风险<span style="color:red;">结果判定</span>:综合分析结果判定风险等级
|
||
|
||
- **第三阶段 风险处理**
|
||
|
||
风险处理是为了将风险始终控制在<span style="color:red;">可接受</span>的范围内。
|
||
|
||
- <span style="color:red;">现存风险判断</span>:判断信息系统中哪些风险可以接受哪些不可以;
|
||
- <span style="color:red;">处理目标确认</span>:不可接受的风险需要控制到怎样的程度;
|
||
- <span style="color:red;">处理措施选择</span>:选择风险处理方式,确定风险控制措施;
|
||
- <span style="color:red;">处理措施实施</span>:制定具体安全方案,部署控制措施
|
||
|
||
- **第四阶段 批准监督**
|
||
|
||
- <span style="color:red;">批准</span>:是指机构的<span style="color:red;">决策层</span>依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的<span style="color:red;">决定</span>;
|
||
- <span style="color:red;">监督</span>:是指<span style="color:red;">检查</span>机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险。
|
||
|
||
#### <span style="background-color:orange;">3、两个贯穿</span>
|
||
|
||
- **监控审查**
|
||
|
||
<span style="color:red;">监控与审查</span>可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理<span style="color:red;">主循环的有效性</span>。
|
||
|
||
> 类似信息系统工程中的监理
|
||
|
||
- <span style="background-color:yellow;">信息安全工程监理模型</span>
|
||
信息安全工程监理的信息安全工程监理模型由三部分组成,即
|
||
1. 咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)
|
||
2. 监理咨询阶段过程
|
||
3. 控制管理措施(“四控制、三管理、一协调”,即质量控制、进度控制、成本控制、变更控制、合同管理、信息管理和安全管理,组织协调)
|
||
- <span style="background-color:yellow;">信息安全工程监理的职责</span>
|
||
- <span style="color:red;">四控</span>:进度控制,质量控制,成本控制(投资控制),变更控制
|
||
- <span style="color:red;">三管</span>:合同管理,安全管理,信息管理
|
||
- <span style="color:red;">一协调</span>:协调甲方、总包及设备材料供应方的关系
|
||
|
||
- **沟通咨询**
|
||
|
||
通过畅通的交流和充分的沟通,保持行动的<span style="color:red;">协调</span>和<span style="color:red;">一致</span>;通过有效的培训和方便的咨询,保证行动者具有<span style="color:red;">足够的知识</span>和<span style="color:red;">技能</span>,就是沟通咨询的意义所在
|
||
|
||
| 沟通咨询 |
|
||
| ------------------------------------------------------------ |
|
||
| • <span style="color:red;">与领导沟通</span>,以得到理解和批准<br />• <span style="color:red;">单位内部各有关部门</span>相互沟通,以得到理解和协作<br />• <span style="color:red;">与支持单位和系统用户</span>沟通,以得到了解和支持 |
|
||
| 为所有层面的相关人员提供<span style="color:red;">咨询和培训</span>等,以提高人员的安全意识、知识和技能 |
|
||
|
||
- 沟通的要素
|
||
1. 沟通要有目标
|
||
2. 沟通要有对象
|
||
3. 沟通要有内容
|
||
4. 沟通要有反馈
|
||
|
||
- 沟通的方向
|
||
1. 向上沟通:要共识
|
||
2. 向下沟通:要落实
|
||
3. 水平沟通:要支持 / 协调
|