Noriu/CISP
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
567ab70d9e
CISP/03_第三章 信息安全管理/3.2 信息安全风险管理.md
Noriu 567ab70d9e 2024年9月12日 15:15:55
2024-09-12 15:15:58 +08:00

8.2 KiB
Raw Blame History

信息安全风险管理

★ 风险管理概述
    了解信息安全风险、风险管理的概念;
    理解信息安全风险管理的作用和价值。
★ 常见风险管理模型
    了解COS0报告、IS031000、COBIT等风险管理模型的作用。
★ 安全风险管理基本过程
    理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容。

一、风险管理基本概念

1、风险事态的概率及其结果的组合

  • 风险是客观存在
  • 风险的基本属性
    1. 风险发生的概率P
    2. 风险一旦发生所带来的影响/后果I
  • 风险的特征
    1. 随机性
    2. 相对性
  • **风险管理**是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化。
  • 风险的识别、评估和优化

2、风险管理的价值

  • 安全措施的成本与资产价值之间的平衡

基于风险的思想是所有信息系统安全保障工作的核心思想!

二、常见风险管理模型

1、内部控制整合框架(COSO报告)

  • 三个目标:财务报告可靠性、经验效率和效果、合规性
  • 五个管理要素:内制环境、风险评估、控制活动、信息与沟通、监控

2、ISO 31000

  • 为所有与风险管理相关的操作提供最佳实践结构和指导

3、COBIT

  • 为信息系统和技术的治理及控制过程提供最佳实践
  • 组件:框架、流程描述、控制目标、管理指南、成熟度模型

信息安全管理的国际标准ISO 27001
风险管理的国际标准ISO 31000
质量管理的国际标准ISO 9000
IT服务管理的国际标准ISO 20000

三、安全风险管理基本过程

1、GB/Z 24364《信息安全风险管理指南》

四个阶段 && 两个贯穿

image-20240912142027176

2、四个阶段

  • 第一阶段 背景建立

    背景建立是信息安全风险管理的第一个步骤,确定风险管理的对象范围,确立实施风险管理的准备,进行相关信息的调查分析

    • 风险管理准备:确定对象、组建团队、制定计划、获得支持
    • 信息系统调查:信息系统的业务目标、技术和管理上的特点
    • 信息系统分析:信息系统的体系结构、关键要素
    • 信息安全分析:分析安全要求、分析安全环境

  • 第二阶段 风险评估

    信息安全风险管理要依靠风险评估的结果来确定随后的风险处理批准监督活动。

    • 风险评估准备:制定风险评估方案、选择评估方法

    • 风险要素识别:发现系统存在的威胁脆弱性控制措施

      风险评估的要素:

      1. IT资产任何影响IT交付的资源人、财、物
      2. 脆弱性 / 漏洞:资产本身固有的缺陷;
      3. 威胁:对脆弱性的利用;
      4. 风险:脆弱性和威胁的组合;
      5. 控制措施:对风险的应对方法。

    • 风险分析判断风险发生的可能性和影响的程度PI分析

    • 风险结果判定:综合分析结果判定风险等级

  • 第三阶段 风险处理

    风险处理是为了将风险始终控制在可接受的范围内。

    • 现存风险判断:判断信息系统中哪些风险可以接受哪些不可以;
    • 处理目标确认:不可接受的风险需要控制到怎样的程度;
    • 处理措施选择:选择风险处理方式,确定风险控制措施;
    • 处理措施实施:制定具体安全方案,部署控制措施

  • 第四阶段 批准监督

    • 批准:是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定
    • 监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险。

3、两个贯穿

  • 监控审查

    监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性

    类似信息系统工程中的监理

    • 信息安全工程监理模型 信息安全工程监理的信息安全工程监理模型由三部分组成,即
      1. 咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)
      2. 监理咨询阶段过程
      3. 控制管理措施(“四控制、三管理、一协调”,即质量控制、进度控制、成本控制、变更控制、合同管理、信息管理和安全管理,组织协调)
    • 信息安全工程监理的职责
      • 四控:进度控制,质量控制,成本控制(投资控制),变更控制
      • 三管:合同管理,安全管理,信息管理
      • 一协调:协调甲方、总包及设备材料供应方的关系

  • 沟通咨询

    通过畅通的交流和充分的沟通,保持行动的协调一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识技能,就是沟通咨询的意义所在

    沟通咨询
    与领导沟通,以得到理解和批准
    单位内部各有关部门相互沟通,以得到理解和协作
    与支持单位和系统用户沟通,以得到了解和支持
    为所有层面的相关人员提供咨询和培训等,以提高人员的安全意识、知识和技能

    • 沟通的要素

      1. 沟通要有目标
      2. 沟通要有对象
      3. 沟通要有内容
      4. 沟通要有反馈

    • 沟通的方向

      1. 向上沟通:要共识
      2. 向下沟通:要落实
      3. 水平沟通:要支持 / 协调

·