NISP-信息安全風險管理
1.信息安全風險管理
- 信息安全管理的核心是風險管理,關鍵在於如何控制,化解和規避風險
- 風險管理是信息安全管理的基本方法
2.信息安全風險
- 信息安全風險是人爲或自然的威脅,利用信息系統及其管理體系中存在的脆弱性,可能導致安全事件發生並對組織造成影響
- 信息安全風險破壞組織信息資產的保密性,完整性和可用性
- 風險是一種潛在的,負面的東西,處在未發生狀態,它是指遭受損害或損失的可能性
- 風險一方面客觀存在,另一方面其發生的時間的不確定性,風險一旦發生,將會產生損失
- 風險強調的是損害的潛在可能性,而不是事實上的損害,風險是不能消除殆盡的
- 風險的大小與資產,威脅和脆弱性這三個引起風險的最基本要素有關
- 脆弱性越多,風險越大
威脅
- 能夠通過未授權訪問毀壞,揭露,數據修改或拒絕服務對系統造成任何危害的環境或事件
- 威脅的實體(指自然災害或者攻擊者)
- 威脅是引起風險的外因
脆弱性
- 是指硬件,軟件或者協議在具體實現或系統安全策略上存在的缺陷
- 脆弱性是引起風險的內因
影響
- 是指一個事件對運行或組織機構的影響程度
資產
- 任何對單位有價值的信息或資源
- 資產可以有行也可以無形(例如:計算機或專利技術)
- 資產本身的價值是風險存在的根本原因
3.風險管理
- 風險管理是組織機構識別,評估風險並採取相關活動將風險降至最低到可接受級別的過程,從而保障信息的保密性,完整性和可用性
- 它是單位管理活動的一部分,其管理的主要對象就是風險
- 以風險爲驅動的信息安全管理,其核心是識別風險,選擇對策,消減風險
4.風險管理的四個基本步驟
- 背景建立
- 風險評估
- 風險處理
- 批准監督
- 四個步驟貫穿了溝通諮詢和監管審查活動
背景建立
- 根據需要保護系統的業務,目標和特性確定風險管理的範圍和對象,明確對象的特性及安全需求,完成項目的規劃和準備
風險評估
- 是信息安全管理的基礎
- 是識別分析和評價信息安全風險的活動
- 主要是鑑定組織的信息及相關資產;評估信息資產面臨的各種威脅和自身的脆弱性;同時評判現有的安全措施
- 通過風險評估過程,組織可以全面瞭解所面臨的信息安全風險,從信息安全風險可以導出信息安全需求
風險處理
- 是信息安全管理的核心
- 對風險實施決策。採取措施處理不能接受的風險,將風險控制在可接受的範圍內
- 只有通過風險處理活動,組織信息安全能力纔可以提升,信息安全需求才可以被滿足
批准監督
- 批准風險評估和風險處理的結果,並持續監督
風險管理
- 是一個動態發展,不斷循環的過程
- 一次風險管理完成後,因爲新的變化引起的新的風險,或者因爲業務本身的要求,都需要進入新一輪的風險管理週期
- 以體系化的方式實施信息安全管理,才能實現並保持一定的信息安全水平