IT风险的组成威胁脆弱性影响风险-IntosaiITAudit课件

IT安全

第2节风险分析IT安全

什么是“风险分析”?风险分析的目的是识别数据与其它IT资产受到威胁的不同方式，以及这些暴露的后续影响暴露的解决措施作为”风险管理”的输入什么是“风险分析”?风险分析的目的是识别数据与其它IT资产一些概念威胁概率/可能性/机会IT资产脆弱性影响(C.I.A.)风险业务后果记住

–没有威胁就没有风险一些概念威胁IT风险的组成威胁脆弱性影响风险(安全需求)安全措施风险分析风险管理IT风险的组成威胁脆弱性影响风险(安全需求)安全措施风险分析风险模型电力中断客户查询系统不可用性不支持决策制定业务损失额外工作威胁/脆弱性IT资产影响业务后果风险模型电力中断客户查询系统不可用性不支持决策制定业务损失额什么是潜在威胁?大型机工作站以太网服务器X.25工作站工作站服务器网桥磁盘阵列小型机网桥打印机帐户X.25X.25什么是潜在威胁?大型机工作站以太网服务器X.25工作站工作站为什么要分析IT风险?以确保IT安全符合成本效益了解

风险环境:-内部因素,如:-现有哪些计算机系统？以及为什么?它们对业务的重要性如何?它们面临什么威胁?外部因素,如:-盗窃和损坏的威胁黑客的威胁对外部供应商的依赖为什么要分析IT风险?以确保IT安全符合成本效益IT风险分析需要什么?项目管理原则的运用:-成立审查指导委员会批准TOR和审查范围批准计划和资源需求确定指导委员会会议的日期维护:-健全的文档管理

一个好的审计轨迹

IT风险分析需要什么?项目管理原则的运用:-IT风险分析包含什么内容?IT风险分包括了解-哪些IT资产需要加以保护来自于什么类型的威胁这些威胁如何显现它们发生的可能性导致的业务后果现有的保护措施IT风险分析包含什么内容?IT风险分包括了解-管理报告需要检查的系统优先次序表每个系统以及所依赖的关键资产(硬件、软件、通信、数据、文档、人员)威胁、脆弱性、影响和业务后果的详细情况和测量

现有保护措施有效性的评估固有风险水平的评估管理报告需要检查的系统优先次序表风险分析–警告!注意!初始的风险分析会比较昂贵，但.....后续审查比较便宜风险分析–警告!注意!初始的风险分析会比较昂贵，方法好的方法应提供.....防御型的风险分析技术

项目管理框架开展工作的详细指导，包括-审查问卷表格和其它文具辅助风险管理

-适当控制的选择控制实施的优先次序方法好的方法应提供.....手工方法优点....便宜，使用方便益于快速/高层评审缺点...无自动化的文档管理/审计轨迹无自动化的数据处理(电子表格和数据库软件可提供有限的帮助)风险管理的有限帮助(检查列表)更多的依赖于审查人员的经验而不是专门的软件包手工方法优点....软件辅助方法优点:.....动化的文档管理/审计轨迹自动化的数据处理风险分析和风险管理的完全整合支持自动化的“如果?”规则缺点......成本(逐渐降低)....初始采购成本和每年的维护成本用户培训强大的PC和激光打印机此方法会很容易控制任务软件辅助方法优点:.....总结IT风险分析-识别和量化安全暴露告知风险管理流程仅是