企业信息安全风险管理工作方案

1、企业信息安全风险管理工作方案知识域：风险管理工作内容知识子域：风险管理工作主要内容掌握建立背景的主要工作内容掌握风险评估的主要工作内容掌握风险处置的主要工作内容掌握批准监督的主要工作内容掌握监控审查的主要工作内容掌握沟通咨询的主要工作内容2风险管理是各行业采取的普遍工作方法3通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。4信息安全工作中的风险管理常见问题问题根源浅析安全投资逐年增加，但看不到收益没有根据风

2、险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低按照国家要求或行业要求开展信息安全工作，但安全事件仍出现没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险。IT安全需求很多，有限的资金应优先拨向哪个领域决策者没有看到安全投资收益报告，资金划拨无参考依据。当了CIO，时刻担心系统出事，无法预见可能会出什么事没有残余风险清单，在什么条件可被触发，如何做好控制5风险管理是信息安全保障工作有效工作方式好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，

3、更好地管理风险。而不是将保贵的资源用于解决所有可能的风险风险管理是一个持续的PDCA管理过程。6什么是信息安全风险管理定义一：GB/Z 24364信息安全风险管理指南信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。 了解风险+控制风险=管理风险7正确的风险管理方法8保护人身安全遏制损害评估损害确定损害部位修复损害部位审查响应过程并更新安全策略反应性风险管理评估风险实施风险决策风险控制评定风险管理的有效性前瞻性风险管理+=前瞻性风险管理反应性风险管理风险管理最佳实践 流行性感冒是一种致命的呼吸

4、道疾病，美国每年都会有数以百万计的感染者。这些感染者中，至少有 100,000 人必须入院治疗，并且约有 36,000 人死亡。 您可能会选择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方式来治疗疾病。 此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。信息安全风险管理的目标信息安全属性9信息安全风险术语资产（Asset）威胁源（Threat Agent）威胁（ Threat ）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probabili

5、ty）影响（ Impact,loss ）风险（Risk）残余风险（Residental Risk）10信息安全风险术语-资产资产是任何对组织有价值的东西，是要保护的对象资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）；硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）；有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）；静态的（如设施和规程等）和动态的（如人员和过程等）；技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略

6、、规程、过程、计划和人员等）等。11信息安全风险术语-威胁可能导致信息安全事故和组织信息资产损失的活动。威胁源采取恰当的威胁方式才可能引发风险威胁举例：操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析12漏洞利用拒绝服务窃取数据物理破坏社会工程信息安全风险术语-脆弱性与信息资产有关的弱点或安全隐患。造成风险的内因。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足13信息安全风险术语-控制措施根据安全需求部署，用来防范威胁，降低风险的措施。举例部署防火

7、墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度14信息安全风险术语-可能性指威胁源利用脆弱性造成不良后果的可能性。举例脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的可能性很小系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生的可能性较小。互联网公开漏洞且有相应的测试工具，发生不良后果的可能性很大。15信息安全风险术语-影响指威胁源利用脆弱性造成不良后果的程度大小举例网站被黑客控制，国家级网站比省市网站的名誉损失大很多。银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失更大。16信息

8、安全风险术语-风险指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。 网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉17威胁源威胁方式脆弱性风险采取利用造成信息安全风险术语-风险GB/T 20984的定义：信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。18对风险的理解风险的五方面威胁

9、源威胁行为脆弱性资产影响19走在路上被陨石砸到走在马路上被汽车撞倒信息安全风险术语之间的关系20威胁源威胁方式脆弱性风险采取利用造成资产不良影响控制措施破坏造成受控制直接影响信息安全风险术语-残余风险指采取了安全措施后，信息系统仍然可能存在的风险。有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视，它可能会在将来诱发新的安全事件举例风险列表中有10类风险，根据风险成本效益分析，只有前8项需要控制，则另2项为残余风险，一段时间内系统处于风险可接受水平。21信息安全风险术语-风险评估 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威

10、胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。22风险评估的理解信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节风险管理是在倡导适度安全23信息安全风险术语-风险评估vs风险管理风险管理风险评估目标将风险降低到可接受水平确定面临的风险

11、并确定其优先级周期包括风险评估、风险决策、风险控制等所有阶段风险管理中的单个阶段计划持续（PDCA）按需要24信息安全风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询GB/Z 24364信息安全风险管理指南 四个阶段，两个贯穿。 25建立背景背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。风险管理准备：确定对象、组建团队、制定计划、获得支持信息系统调查：信息系统的业务目标、技术和管理上的特点信息系统分析：信息系统的体系结构、关键要素信息安全分析：分析安全要求、分析安全环境26背景建立过程27风险管理工作内容建立背

12、景风险评估风险处理批准监督监控审查沟通咨询28风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险分析准备：制定风险评估方案、选择评估方法风险要素识别：发现系统存在的威胁、脆弱性和控制措施风险分析：判断风险发生的可能性和影响的程度风险结果判定：综合分析结果判定风险等级29风险评估过程30风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询31风险处理风险处理是为了将风险始终控制在可接受的范围内。现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以处理目标确认：不可接受的风险需要控制到怎样的程度处理措施选择：选择风险处理方式，确定风险控制措施处理措

13、施实施：制定具体安全方案，部署控制措施32风险处理过程33减低风险转移风险规避风险接受风险常用的四类风险处置方法34减低风险通过对面临风险的资产采取保护措施来降低风险 首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。35减低风险的具体办法减少威胁源：采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机；减低威胁能力：采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；减少脆弱性：及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；

14、36减低风险的具体办法防护资产：采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；降低负面影响：采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。37转移风险通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。 38转移风险的具体做法在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。通过给昂贵的设备上保险，将设备损失的

15、风险转移给保险公司，从而降低资产价值的损失。 39购买保险服务外包规避风险通过不使用面临风险的资产来避免风险。比如：在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击。 通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下40接受风险接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果。 用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。 接受风险不意味着不闻不问，需要对风险态势变化进行持续的监控，一旦发展

16、为无法接受的风险就要进一步采取措施。41风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询42批准监督批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险43批准监督过程44风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询45监控审查的意义监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性。46类似信息系统工程中

17、的监理监控审查过程47风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询48沟通咨询通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在风险管理与领导沟通，以得到理解和批准。单位内部各有关部门相互沟通，以得到理解和协作。与支持单位和系统用户沟通，以得到了解和支持。为所有层面的相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能49沟通咨询过程50知识域：风险管理工作内容知识子域：系统生命周期中的风险管理掌握系统规划阶段的风险管理工作掌握系统设计阶段的风险管理工作掌握系统实施阶段的风险管理工作掌握

18、系统运行维护阶段的风险管理工作掌握系统废弃阶段的风险管理工作51何时作风险管理信息安全风险管理是信息安全保障工作中的一项基础性工作 是需要贯穿信息系统生命周期，持续进行的工作规划设计实施运维废弃52明确信息系统安全建设的目的,对信息系统安全建设实现的可能性进行分析论证并设计出总体安全规划方案。为了保证安全目标的实现，需要对信息系统规划阶段中可能引入安全风险的环节进行风险管理，从而降低在项目后期处理相同安全风险所带来的高额成本。规划设计实施运维废弃系统规划阶段的信息安全风险管理目标53序号风险管理活动风险管理工作内容1明确安全总体方针背景建立2安全需求分析背景建立4风险评估准则达成一致风险评估5安全实现论证分析风险处理、批准监督系统规划阶段的信息安全风险管理54条理、完整、明确性审查安全方针法律标准符合性审查需求分析条理、完整、明确性审查审查是否通过风险评估来确认需求准确条理、完整、明确性审查通过调研确定风险评估准则是否获得一致的认可条理、完整、明确性审查信息系统信息描述（使用信息、运行环境）依据规划阶段输出的总体安全规划方案来设计信息系统安全的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在设计信息系统的实现结构和实施方案时，在技术的选择、配合、管理等众多的环节均容易引入安全风险，因此对