信息安全风险管理之风险控制措施浅析

1、.信息安全风险管理之风险控制措施浅析随着全球网络互联时代的到来，传统业务不断向虚拟世界延伸，而信息安全也逐渐成为组织日益关注的问题。通过建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（ISMS）可以帮助组织选择适当和相宜的安全控制措施保护信息资产，提升组织信息安全等级，加强组织利用IT机遇来完善业务流程的能力。组织在建立信息安全管理体系过程中，首先确定信息安全管理的范围、边界和方针，再进行风险评估及风险管理。组织通过风险识别、风险计算、风险评价一系列风险评估的过程后，整理出所面临的信息安全风险。组织可以接受已识别的风险，即不对风险进行任何控制；也可以通过改善或实施控制措施来降

2、低风险。在选择、实施控制措施时，组织还需考虑成本效益原则。处置风险的安全控制措施的合理使用可有效预防、限制、阻止相关威胁发生的可能性，从而降低风险提升组织的信息安全，将已识别的风险降低到组织可接受的水平。对于决定进行处置的风险，组织可通过分别实施技术类、运营类、管理类的控制措施或这几类控制措施结合实施，最大化控制措施对信息系统及组织的安全管理有效性。不同类控制措施的关注点稍有不同：技术类控制措施-关注技术实现，保护组织的重要数据、信息系统服务等关键信息资产；运营类控制措施-关注日常运营、操作和活动，用于确保运营达成组织目标；管理类控制措施-关注职能部门的运作效率及技术类和运营类控制措施符合管理

3、目标的程度，用于提高经营效率和保证管理方针、策略的实施。从另一个维度看，控制措施的实现又可分为预防性控制、检查性控制和纠正性控制三个类别。预防性控制主要用于提前检测、发现、解决错误、疏漏或蓄意破坏行为等风险的发生；检查性控制主要用于检查和报告错误、疏漏或蓄意破坏行为等风险的发生；纠正性控制主要用于修复检查性控制发现的问题、降低危害影响。在进行风险处置时，通常组合上述两个维度的控制，具体的控制措施组合举例见下表。为改进组织的信息安全现状，在选择风险控制措施的时候通常采用技术类、运营类、管理类控制措施相结合的方式。例如，组织计划强制要求员工使用复杂的强密码以降低因密码被暴力破解导致数据的机密性、完

4、整性或可用性受损所带来的风险。为实现该需求，可通过实施技术类控制措施-如使用安全软件，加强管理类控制措施-如提出安全要求、员工安全意识培训，部署运营类控制措施-如定期备份数据等控制措施实现。为全面提升组织相关数据的安全性，对于小型组织，因员工相对较少，可通过强制要求员工遵循安全要求、辅以相应的奖惩等管理类控制措施实现；对于中、大型组织，可采用三类控制措施相结合的方式更好的满足安全需求。总之，组织的规模、信息安全管理成熟度以及组织管理层风险可接受水平等因素决定了组织所选择的风险控制措施的策略。风险评估是确定组织在实现其业务目标的过程中所使用的信息资产的脆弱性和面临的相关威胁的过程。任何组织在通过风险评估识别风险后、实施控制措施进行风险处置前需先明确两个问题：即要达到什么和要避免什么。接下来，组织需根据自身特点选择单独或组合的技术类、运营类和管理类控制措施；运用成本效益分析的方法分析所选择的控制措施，同时考虑企业文化、时间、资金、技术、法律、环境等可能影响控制措施选择或实施的限制条件。组织根据分