![企业安全之信息安全风险评估_第1页](http://file4.renrendoc.com/view/38732004db955ffe16f9d142bd1ff58e/38732004db955ffe16f9d142bd1ff58e1.gif)
![企业安全之信息安全风险评估_第2页](http://file4.renrendoc.com/view/38732004db955ffe16f9d142bd1ff58e/38732004db955ffe16f9d142bd1ff58e2.gif)
![企业安全之信息安全风险评估_第3页](http://file4.renrendoc.com/view/38732004db955ffe16f9d142bd1ff58e/38732004db955ffe16f9d142bd1ff58e3.gif)
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
企业安全之信息安全风险评估在信息安全产业界,风险评估早已不是陌生话题,几年以来,各安全公司完成的风险评估项目已不在少数,甚至在几乎所有的信息安全服务厂商中,风险评估都是其核心业务。风险评估的核心不仅仅是理论,更是实践。风险评估的实践工作是很困难的,据国外的统计数字显示,只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更多,需要一定时间的积累和沉淀,就像要成为一个好的中医,要有个学和练的过程一样。有人认为风险评估只是一个看病的过程,其实,看病就是在治病。因此,笔者就“看病治病”的风险评估过程的几个方面简单谈谈自己的心得与体会。1.定义——什么是完整意义的风险评估何为完整意义的风险评估?角度去观察,既要客观,又要全面。古语云:成岭侧成峰,远近高低各不同。不识庐山真面目,只缘身在此山中。”故所谓信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括:(1)使命:即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高,风险评估的任务就越重要。“横看(2)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。(3)资产价值:资产的敏感程度、重要程度和关键程度。(4)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁(5)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性洞。(6)事件:源)、能力、资源、动机、途径、可能性和后果。也常常被称为漏如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。(7)风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。(8)残余风险:采取了安全措施,提高(9)安全需求:为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。(10)安全措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。在这些要素中,尤其需要注意一个概念:残余风险。之所以提出这个概念,原因在于:1)风险不可能完全消除。信息技术在发展,外部环境在变化,信息系统本身也要发生变化,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。2)风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险,采取措施反而比不了信息安全保障能力后,仍然可能存在的风险。应采取措施成本更高。由于上述原因,所谓安全的信息系统,并不是指“万无一失”的信息系统,而是指残余风险可以被接受的信息系统。造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。苏轼之《琴诗》曰:若言琴上有琴声,放在匣中何不鸣?若言声在指头上,何不于君指风险评估的工作由以下几个步骤组成:步骤1:描述系统特征步骤2:识别威胁步骤3:识别脆弱性(脆弱性评估)步骤4:分析安全控制(威胁评估)步骤5:确定可能性6:分析影响7:确定风险8:对安全控制提出建议9:记录评估结果步骤步骤步骤步骤2.作用——风险评估是分析确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?试图找出最合理的答案。这一过程实际上就是风险评估。3.战略——信息安全风险评估是信息安全建信息安全风险评估是风险评估理论和方法在信息系统中的信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、设的起点和基础运用,是科学分析理解信息和之间作出控制风险。4.借鉴——重视风险评估是信息化比较发达国家的基本经验《劝学》云:“吾尝终日而思矣,不如须臾之所学也。吾尝跂而望矣,不如登高之博见也。登高而招,臂非加长也,而见者远。顺风而呼,声非加疾也,而闻者彰。假舆马者,非利足也,而致千里。假舟辑者,非能水也,而绝江河。君子生非异也,善假于物也。”其核心思想即是借助外界力量发展提高壮大自己。由于信息技术的飞速发展,关系国计民生的键信息基础设施的规模越来越大,同时也极大地增加了复杂程度,发达国家越来越重视信息倡风险评估制度化。20世纪70年代,美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。有些国家和国际组织还十分重视阶段性的再评估工作,以关安全风险评估工作,提求得信息安全措施可以持续地适应信息安全形势的变化和发展。因此我们应该充分借鉴国内外就风险评估方面的经验,“站在巨人的肩膀上”,完善并改进风险评估。5.改进——当前开展信息安全风险评估要研究解决的经过几年的探索,我国有关方面已经在信息安全风险评估方面做了大量工作,积累了一些宝贵的经验,然而由于起步晚,存在一些亟待解决的问题。一是对风险评估的认识不高,经验不足。二是风险评估的工作流程和技术标准有待完善。风险评估既是一个管理过程,也是一个技术性过程,需要制订科学、实用、有效的工作流程和技术标准。特别是定性和定量的分析方法各自所起的作用,以及相互关系,有待进一步通过实践摸索和理论研究的活动,加以丰富、完善。三是评估工具的发展相对滞后,很难适应技术发展需要。造成风险评估工具滞后的原因很多,技术、装备上的落后是主要的。所以,要加强风险评
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年酒鬼酒项目可行性研究报告
- 2025年腰挂式话筒项目可行性研究报告
- 2025年盒中袋项目可行性研究报告
- 2025年可可町项目可行性研究报告
- 持续集成与自动化部署(CICD)-深度研究
- 企业财务风险预警模型-深度研究
- 虚拟现实在工业互联网平台中的应用探索
- 科技时代下的家庭教育传统文化的传承
- 教育科技在小学德育工作中的应用
- 旅游服务标准化建设-深度研究
- 艺术培训校长述职报告
- ICU新进人员入科培训-ICU常规监护与治疗课件
- 人教版一年数学下册全册分层作业设计
- 选择性必修一 期末综合测试(二)(解析版)2021-2022学年人教版(2019)高二数学选修一
- 学校制度改进
- 各行业智能客服占比分析报告
- 年产30万吨高钛渣生产线技改扩建项目环评报告公示
- 民谣酒吧项目创业计划书
- 2023年珠海市招考合同制职员笔试参考题库(共500题)答案详解版
- 心电监护考核标准
- 特种行业许可证申请表
评论
0/150
提交评论