NISP-信息安全风险管理
1.信息安全风险管理
- 信息安全管理的核心是风险管理,关键在于如何控制,化解和规避风险
- 风险管理是信息安全管理的基本方法
2.信息安全风险
- 信息安全风险是人为或自然的威胁,利用信息系统及其管理体系中存在的脆弱性,可能导致安全事件发生并对组织造成影响
- 信息安全风险破坏组织信息资产的保密性,完整性和可用性
- 风险是一种潜在的,负面的东西,处在未发生状态,它是指遭受损害或损失的可能性
- 风险一方面客观存在,另一方面其发生的时间的不确定性,风险一旦发生,将会产生损失
- 风险强调的是损害的潜在可能性,而不是事实上的损害,风险是不能消除殆尽的
- 风险的大小与资产,威胁和脆弱性这三个引起风险的最基本要素有关
- 脆弱性越多,风险越大
威胁
- 能够通过未授权访问毁坏,揭露,数据修改或拒绝服务对系统造成任何危害的环境或事件
- 威胁的实体(指自然灾害或者攻击者)
- 威胁是引起风险的外因
脆弱性
- 是指硬件,软件或者协议在具体实现或系统安全策略上存在的缺陷
- 脆弱性是引起风险的内因
影响
- 是指一个事件对运行或组织机构的影响程度
资产
- 任何对单位有价值的信息或资源
- 资产可以有行也可以无形(例如:计算机或专利技术)
- 资产本身的价值是风险存在的根本原因
3.风险管理
- 风险管理是组织机构识别,评估风险并采取相关活动将风险降至最低到可接受级别的过程,从而保障信息的保密性,完整性和可用性
- 它是单位管理活动的一部分,其管理的主要对象就是风险
- 以风险为驱动的信息安全管理,其核心是识别风险,选择对策,消减风险
4.风险管理的四个基本步骤
- 背景建立
- 风险评估
- 风险处理
- 批准监督
- 四个步骤贯穿了沟通咨询和监管审查活动
背景建立
- 根据需要保护系统的业务,目标和特性确定风险管理的范围和对象,明确对象的特性及安全需求,完成项目的规划和准备
风险评估
- 是信息安全管理的基础
- 是识别分析和评价信息安全风险的活动
- 主要是鉴定组织的信息及相关资产;评估信息资产面临的各种威胁和自身的脆弱性;同时评判现有的安全措施
- 通过风险评估过程,组织可以全面了解所面临的信息安全风险,从信息安全风险可以导出信息安全需求
风险处理
- 是信息安全管理的核心
- 对风险实施决策。采取措施处理不能接受的风险,将风险控制在可接受的范围内
- 只有通过风险处理活动,组织信息安全能力才可以提升,信息安全需求才可以被满足
批准监督
- 批准风险评估和风险处理的结果,并持续监督
风险管理
- 是一个动态发展,不断循环的过程
- 一次风险管理完成后,因为新的变化引起的新的风险,或者因为业务本身的要求,都需要进入新一轮的风险管理周期
- 以体系化的方式实施信息安全管理,才能实现并保持一定的信息安全水平