范文一:信息安全管理制度附件:信息安全风险评估管理程序
本程序,作为《 WX-WI-IT-001 信息安全管理流程 A0版》的附件,随制度发行,并同步生效。
信息安全风险评估管理程序
1.0目的
在 ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告, 描述风险 等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.0适用范围
在 ISMS 覆盖范围内主要信息资产
3.0定义(无)
4.0职责
4.1各部门负责部门内部资产的识别,确定资产价值。
4.2IT 部负责风险评估和制订控制措施。
4.3财务中心副部负责信息系统运行的批准。
5.0流程图
同信息安全管理程序的流程
6.0内容
6.1资产的识别
6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。
6.1.3资产(A )赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。
1)机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产
2)完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产
在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
3)可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产
3分以上为重要资产,重要信息资产由 IT 部确立清单
6.2威胁识别
6.2.1威胁分类
对重要资产应由 ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形 式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、 恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖 等。
6.2.2威胁 (T)赋值
评估者应根据经验和 (或) 有关的统计数据来判断威胁出现的频率。 威胁频率 等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
6.3脆弱性识别
6.3.1脆弱性识别内容
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络 层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理 和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。 6.3.2脆弱性 (V)严重程度赋值
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。
6.4已有安全措施的确认
ISMS 小组应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持, 以避免不必要的工作和费用, 防止安全措施的重复实施。 对于确认为不适当的安全 措施应核实是否应被取消,或者用更合适的安全措施替代。
6.5风险分析
完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后, ISMS 小组 采用矩阵法确定威胁利用脆弱性导致安全事件发生的可能性, 考虑安全事件一旦发 生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织 的影响,即安全风险。
6.5.1安全事件发生的可能性等级 P=(T*V)0.5,
6.5.2安全事件发生后的损失等级 L =(A*V)0.5,
6.5.3
6.5.4风险管理策略
6.5.4.1完全的消除风险是不可能和不实际的。公司需要有效和经济的运转,
因此必须根据安全事件的可能性和对业务的影响来平衡费用、时间、 安全尺度几个方面的问题。公司在考虑接受残余风险时的标准为只接 受中或低范围内的风险;但是对于必须投入很高的费用才能将残余风 险降为中或低的情况,则分阶段实施控制。
6.5.4.2风险值越高, 安全事件发生的可能性就越高, 安全事件对该资产以及业 务的影响也就越大,风险管理策略有以下:
●接受风险:接受潜在的风险并继续运行信息系统, 不对风险进行处 理。
●降低风险:通过实现安全措施来降低风险, 从而将脆弱性被威胁源 利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系 统等安全产品)。
●规避风险:不介入风险,通过消除风险的原因和 /或后果(如放弃 系统某项功能或关闭系统)来规避风险。
●转移风险:通过使用其它措施来补偿损失, 从而转移风险, 如购买 保险。
6.5.4.3风险等级 3(含)以上为不可接受风险, 3(不含)以下为可接受风险。 如果是可接受风险,可保持已有的安全措施; 如果是不可接受风险, 则 需要采取安全措施以降低、 控制风险。 安全措施的选择应兼顾管理与技 术两个方面,可以参照信息安全的相关标准实施。
6.6 确定控制目标、控制措施和对策
基于在风险评估结果报告中提出的风险级别, ISMS 小组对风险处理的工作进行优 先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项 应该最优先处理。
●评估所建议的安全措施
●实施成本效益分析
●选择安全措施
●制定安全措施的实现计划
●实现所选择的安全措施
6.7 残余风险的监视与处理
风险处理的最后过程中, ISMS 小组应列举出信息系统中所有残余风险的清单。在 信息系统的运行中,应密切监视这些残余风险的变化,并及时处理。
每年年初评估信息系统安全风险时, 对残余风险和已确定的可接受的风险级别进行
评审时,应考虑以下方面的变化:
●组织结构;
●技术;
●业务目标和过程;
●已识别的威胁;
●已实施控制措施的有效性;
●外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。 6.8信息系统运行的批准
ISMS 小组考察风险处理的结果, 判断残余风险是否处在可接受的水平之内。 基于这 一判断,管理层将做出决策,决定是否允许信息系统运行。
如果信息系统的残余风险不可接受, 而现实情况又要求系统必须投入运行, 且当前 没有其它资源能胜任单位的使命。这时可以临时批准信息系统投入运行。
在这种情况下, 必须由信息系统的主管者决定临时运行的时间段, 制定出在此期间 的应急预案以及继续处理风险的措施。 在临时运行的时间段结束后, 应重新评估残 余风险的可接受度。 如果残余风险仍然不可接受, 则一般不应再批准信息系统临时 运行。
7.0相关文件
7.1《 GB/T20984-2007信息安全风险评估规范》
8.0记录
8.1《信息资产识别表》
8.2《重要资产清单》
8.3《风险评估表》
8.4《安全措施实施计划》
范文二:信息安全管理制度风险评估手册
信息安全管理制度风险评估手册 目 录 2一前言 3二本文 31 风险的定义及其本质 62 风险管理对资讯安全管理系统的重要性 103资讯风险管理与资讯风险评估之关连 164各种资讯风险评估作业程序之比较与建议 215结论 236参考文件与标准 23三作者简介: 编序 自从行政院于民国九十年一月十七日第二七一八次院会通过「建立我国通信息基础建设安全机制计划」,并成立「国家资通安全会报」后,即开始结合内政、外交、国防、财政、教育、法务、经济、交通等部会,针对电力、电信、金融、交通等国家基础建设之安全防护,共同研讨相关因应作为,其中对于教育训练的重视与人才之培育,更是重点工作项目之一。 依照国家资通安全会报综合业务组之规划,整个教育训练的时程大致上可分为资通安全基础训练建置,资通安全防护及运用训练,资通安全专业训练三大阶段;而编撰本手册之源由,系配合国家资通安全会报对于政府机构建立信息安全的基本防范能力,以及建立信息安全的防范体系所做的一连串配套措施之一,旨在提升政府机构人员对于信息安全管理系统的基本认知以及针对实际建置管理系统所需的程序提供相关教育训练。 本手册编撰由中华民国计算机稽核协会负责,将发行给政府单位作为执行信息安全管理制度时之参考书籍。有鉴于大多数政府机关人员对于信息安全管理系统及其建置程序并未有完整之观念,或是仍存有部份之迷思,其中有关于信息风险评估的原理及执行程序是最易令人产生困惑之处,因此本手册之编排方式将先针对信息风险的定义及其本质予以简介,然后说明如何管理信息风险以及介绍信息安全管理系统建置程序;最后再引导至风险评估对于整个信息安全管理系统的重要性以及介绍目前国际上较为通用的风险评估方式,期望能协助各单位有所依循且有效地执行信息安全管理制度之推行。 国家资通安全会报技术服务中心 谨订 中华民国九十二年四月 前言 运用信息技术尚需注意人性的管理: 很多人在一接触到信息安全管理系统(Information Security Management System,简称ISMS)时,首先浮现的念头大多是「一种非常专业的知识,只有信息相关的从业人员才可以胜任」。但有趣的是,当发生了信息安全事件时,信息人员也常表示「我们己经提供了最佳设备及软件,也对相关人员实施了相关的教育训练」;那么信息安全事件何以还是在我们的周遭不断地重复发生呢, 当从新闻媒体或是报章杂志得知了台湾又发生了信息安全事件时,很多人总想一探究竟地了解到底在安全系统中是哪里出现了漏洞,让为非做歹者有机可乘。而事实是,不论是在金融业、公共事业或是其它与信息相关的产业,绝大部份造成信息安全事件的原因都不是专业技术的层面,而是在人性面上出现的漏洞所导致。不可否认的是,蓄意犯罪的人员的专业素养及用功认真的程度是远高过于我们一般的从业人员,尤其在信息安全事件方面,有鉴于此颐且脖匦胍幸惶啄茉谧橹姓箍男畔踩芾砘疲逵勺橹谌嗽钡闹都熬趵葱纬尚畔踩姆阑ね沟糜行娜耸坎换崮敲慈菀椎牡贸眩词故翘岣吡朔缸锏某杀净蚴悄讯龋庖簿褪悄持殖潭鹊男畔踩阑ち恕? 风险评估是信息安全管理制度的重要建置步骤: 近年来各大媒体对于信息安全事件的报导日渐增多,不定期发生的病毒警示发布、网络银行的账户密码遭破解盗取存款、中美网络黑客大战等等,在报章媒体失真地报导与过度地渲染之下,「信息安全」也成为本世纪以来谈及因特网时的热门议题。但一般人对于「信息安全」所蕴含的意义,仅止于将报章杂志上耸动的标题,黑客攻击、计算机病毒及信息战等,与信息安全划上等号。若企业
经营管理阶层、信息从业人员亦有此错误之认知,认为防火墙之购买及防毒软件之使用即是落实了信息安全的良善管理,而未针对安全管理之机制思考其真正意涵,那么在信息安全管理的逻辑上已产生了一个严重的错误:亦即仅重视技术层面之各项软硬件导入与应用,而忽略了管理层面风险评估与控管程序建置之重要性,导致企业执行信息安全管理机制时造成失衡,亦造成信息安全的管理与企业经营的需求发生冲突时无适当之权衡评估方式。 二、本文 风险的定义及其本质 认识风险才知如何管理 在开始进入主题前,想先和大家分享一个现象。自从921大地震后,开始引发社会呼吁企业应注重「业务持续营运计划」(Business Contingency Plan简称BCP)的声音,而后陆续又发生汐止东方科学园区大火、纳莉水灾、美国911恐怖攻击事件等几乎每年一次不同类型的灾难事件后,我们曾经一度以为各企业对BCP的接受度与需求会大增,必会求助于从事于信息安全的顾问及专家。可惜事实不然,许多企业主找了多家顾问或厂商来做评估,但一谈到经费问题就触礁了;有的仍然持续在观望中,看局势、看政府的态度、看荷包,但就是不看风险;少数几家还很自豪地说,发生那么多灾难都没有波及他的公司,可见根本就无须小题大作云云…..。后来经我们分析后才得知,有心导入BCP机制的企业或机构,其实在事件发生后就立即展开建置或评估作业了。 举这个例子是想在阅读本书前告诉大家,每个人对风险的认知与容忍程度是不同的,即使采用相同的方法论亦会产生不同的控制措施。也因此并没有一套放诸四海皆准的方法可如法炮制;我们提供的是希望大家要先对风险本身有了正确的认识后,才能采用适当的方法论去建置一套真正适用于单位内的信息安全管理系统。尤其是现在又遇上了SARS的事件,其影响层面不再只是区域性而已,衷心希望大家可趁此机会仔细地检视自身单位内所面临的风险。 又如多数企业于信息安全管理体系建构之际,诸如信息安全政策之建置,仅为文件复制与编写,或并未与实务或营运需要进行差异分析 (Gap Analysis);其它如安全防护技术或产品导入,亦未涵盖营运风险(Business Risks)评估…等。所以,虽投入于信息安全保护,但在我国多数的企业环境尚处于 NICE TO HAVE的型态,意即有安全管理当然很好,但没有亦无妨;因此除非法令要求,甚或已经因类似的事件遭受损失,或希望成为营销的利器,否则多半都采取较消极的态度或仅仰赖导入某些技术或产品,在缺乏良善的监控与分析之下,多半都处于对企业内部的安全防御状态的不自知。 风险的基本定义 风险一词有很多种层面的定义,反应出不同的风险意义与不同的人事物。其中一种最足以有效定义风险系ISO所提供:『可能对一个或群组资产可能之弱点产生威胁,以致产生损失或伤害资产。风险之影响或相关损害系指可能对企业产生之损失,破坏价值及估计威胁发生机率。』此定义一般为业界所采用,自从组织运用资产概念及损失价格来考虑风险,此亦已被一般组织及企业之经理层级所采纳。 风险之本质 不论我们要不要接受,风险的存在性是不变的,每个人每天都不停地会面临风险,并做出抉择。例如一个开车上班的人,若有一天他的车子送修,他就必须要决定是否要坐公交车还是出租车去上班,以花费的成本考虑来看,出租车当然比较贵,可是它所提供的是时间的节省以及舒适的过程;反之,坐公交车的好处在于其经济因素的考虑。简单地说,在作决定前的过程就是一种风险评估;决定方案之后所作的调整(如为了避免塞车,便比平时早1小时出门)便是在执行风险管理。 从另一个角度来看,风险本身即表示犯罪与攻击意图的存在,像盗用公款、抢劫、侵犯隐私权、诈欺…等层出不穷的事件,在实体世
界与数字世界中都是一种威胁;它们的外表形态可能会不一样,但是其动机及心理仍是相同的。因此,我们对数字世界的威胁可以使用与实体世界相同的防护逻辑,再来判断要使用何种信息技术层级予以控制;而不是一开始就选择要采用的防护产品,结果反而要让控管机制来迁就产品所提供的功能。 信息安全与信息风险: 信息安全的定义与目标 仅以BS7799的标准定义做为简介,就是「信息对组织而言就是一种资产,和其它重要的营运资产一样有价值,因此需要持续给予妥善保护。信息安全可保护信息不受各种威胁,确保持续营运,将营运损失降到最低,得到最丰厚的投资报酬率和商机。」 信息安全的目标在于保护信息及其支持处理设备、系统和网络的机密性(Confidentiality)、完整性(Integrity,或称真确性)和可获得性(Availability,或称可用性)不受到各种方式的威胁,使可能发生的事业损害降至最低,确保企业的永续经营;例如,程序设计师写完程序必须向上级公开原始码、企业Data Center必须进行数据异地备援...等等都是基于保护信息安全的考虑。 信息安全管理的要素 与其它管理一样,安全管理三要素是People(人)、Process(流程)与Technology(科技),因为事是由人做出来的,人事安全是所有安全当中非常重要的一环,企业或组织所拟定出来的安全政策还有赖具备安全紧急意识的「人」去遵循;而企业若能掌握Process顺畅,即可掌握80,以上的安全;Technology并非单指CCTV、门禁系统等设备,而最近相当热门的信息安全也绝非单指防火墙与防毒软件而已。 信息安全涵盖范围相当广,并非仅指因特网,也绝非只是防火墙,因为信息安全必须以人事、实体与环境安全为基础,所有的科技都以协助安全管理政策为目的,否则科技只是一个产品。例如,当计算机为了信息安全的缘故装上防火墙,却对其摆放位置不做适当防护,如何称得上安全, 信息风险的定义与要素 信息风险系指可能影响资产、流程、作业环境或特殊企业组织之威胁,威胁性质包括财务、法令、策略、科技、数据运用及可能影响企业环境之结果。信息安全管理系统的建置人员应着重于与信息安全管理三要素有关之风险等级,此等风险等级通常容易产生信息机密性、完整性或可获得性之损失。 而信息风险的要素可表现于下列方面: 外部威胁、内部弱点、需要保护的作业或信息资产。 依据资产之威胁及弱点之影响做成冲击分析(Impact Analysis)。 依管理目标与现实状况所做之差异分析(Gap Analysis)及评估风险可能发生之机率。 信息风险的种类: 完整性风险(Integrity Risk): 此风险会发生在信息处理的两个范畴,分别是信息基本架构的管理、及维持组织营运所必需的应用系统。其风险在于数据的处理、拥有、揭露均违反了营运控制的实务,或信息系统之输出、入与处理的正确原则端控制流程,如:数据转换接口出错、数据内容遭破坏,网页内容遭恶意窜改、网络数据劫夺(Session Hijacking)及数据结算之错误或根本的程序逻辑与经营流程不相符。
信息基础架构风险 (Infrastructure Risk): 此风险系因组织未能建构有效率的信息科技基础架构(如硬件、网络、软件、人员及流程),或未能在有效率、及控制良好的模式下,支持组织现有及未来的需求。这些风险在于界定、开发、维护及经营信息处理环境(如计算机硬件、软件系统、网络等)的一连串信息科技处理程序及相关的营运应用系统(例如客户服务、应收付帐款、生产排程、信用处理等等)有关,举凡从操作系统平台,数据库系统、网络系统、实体环境等等,特别是现今e化环境对网络的依赖性非常高,因此信息基础建设之完备,传输之保全是重要的风险控制点。 可获得性风险(Availability Risk): 当需要信息执行营运决策或经
营活动时,无法及时取得的风险,包括: 因信息通讯中断所产生的损失。例如:协议阻断服务攻击(Denial of Service)、传输线路中断、电话系统断线、系统当机、卫星断讯。 处理信息的基本能力之丧失。例如:计算机系统效能极低,火、水灾、断电或缺乏适当专业人员操作系统。 操作上的困难。例如:控制权遭远程控制程序劫夺、磁盘驱动器故障、操作人员失误等。 企业或组织营运上的中断。例如:天然灾害、恶意破坏、怠工、瘟疫(今年所遇到的SARS疫情便是一例)等。 另外信息可获得性风险应着重以下三个不同的层面: 藉由监督效能及在问题发生前采取预防措施,可避免此风险。 可使用系统或数据回复技术使损失降至最低。 因天然灾害而造成长时间之中断所产生的风险,可透过应变计划(Disaster Recovery
Plan 或 Incident Handling Process)及业务持续营运计划(Business Contingency Plan)
使信息系统减少损失。 机密性风险及存取风险(Confidential Risk & Access
Risk): 此类风险着重于不适当的存取信息系统、数据和信息之风险,它包括不适当的权责划分、数据与数据库整合之风险、以及与信息机密性相关之风险,例如不适当的人可能取得机密信息,而适当的人却被拒绝存取。 信息存取的风险是全面性的,亦即包括因任何目的而取得的信息。另一类型则如使用者权限的不相符,或是系统导入之变更,传统之部门间职能分工转变为应用系统角色及权限之扮演,例如员工兼具请购人员与采购人员之权限,可能导致不当授权将导致使用者存取未经授权之数据之风险,或造成机密数据外泄及未经授权之异动可能性。 攸关风险(Relevance Risk): 攸关性风险系指该信息与搜集、维护与传达信息之目的无关,该风险系与信息系统所产生或汇总信息之有用性与时效性有关。依性质而言,信息的攸关性风险直接与「决策信息风险」有关,此风险系指无法将「正确」之数据或信息,传达给「正确」的经营、消费或管理决策者,在「正确」的时间内做出「正确」之决策。此风险之发生主要系因未充分了解信息需求及缺乏对时效性的注意,进而损害到交易双方的权益、企业竞争的优势或是管理的效益与效率。 信息风险管理对信息安全管理系统的重要性 信息安全管理系统的建置程序 兹以BS7799为例: 信息安全管理系统和ISO9001:2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act,PDCA)之模式,并应用于所有信息安全管理系统之建置过程。图1系展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端,经由各必要措施及过程,产生符合所需要求及期望的信息安全输出结果。 图1所示之PDCA模式,同时表现组织应在整体业务活动与风险下执行开发、实施、维护及持续改进信息安全管理系统。PDCA过程模式并可描述如下:
P:计划(Plan,建立ISMS),建立安全政策、目标、标的、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策与目标相一致。 D:执行(Do,实施与操作ISMS),安全政策、控制措施、过程与流程之实施与操作。 C:检查(Check,监控与审查ISMS),依据安全政策、目标与实际经验,以评鉴及测量(适当时)过程绩效,并将结果回报给管理阶层加以审查。 A:行动(Act,维持与改进ISMS),依据管理阶层审查结果采取矫正与预防措施,以达成持续改进信息安全管理系统。 图1:ISO标准所采用之PDCA模式 除了图1所示ISO标准模式之外,兹将其概念转换成另一种建置程序的呈现(详图2),以提供读者做为建置之参考。 对照PDCA的过程描述,大家可以看到信息安全管理系统与制度之建置是一个循环不断的过程,其中的基础必须先建立目标与安全政策。在运作过程中需要取得完整
的决策信息(可想而知,若信息不足时则其判断结果便会有误差。再来针对风险所做之企业持续不断之评估、管理、监督修正等行为皆与PDCA有直接关连。
图2:信息安全管理系统建置程序参考示意图 信息安全管理系统之建立步骤: A. 依据业务、组织、所在位置、资产及技术等特性,定义信息安全管理系统之范围。简单地说就是要决定全面实施或分阶段分单位实施,此举会同时影响信息安全资源的分配运用,对风险评估后的接受度,以及所采用的风险管理策略。 B. 依据业务、组织、所在位置、资产及技术等特性,定义信息安全管理系统之政策,且须: 1. 包含设定目标之框架,并建立有关信息安全之整体方向意识与行动原则。 2. 考虑企业及法律或法规要求,以及合约性的安全责任。 3. 建立策略性、组织性及风险管理之内容,使其信息安全管理系统得以建立及维持。 4. 藉以评估风险之标准应加以建立,风险评鉴之架构应加以定义。 5. 被管理阶层核准。 C. 定义风险评估之系统化方法 1. 选用一风险评估方法,并适合其信息安全管理系统、已判别之企业信息安全、以及法律法规之要求。 2. 设定信息安全管理系统之政策与目标,以降低风险至可接受程度。 3. 决定可接受之风险标准以及判别风险至可接受的程度。 D. 判别各项风险 1. 判别信息安全管理系统控制范围内之信息资产以及该等资产之拥有者。 2. 判别信息资产所受威胁。 3. 判别该等威胁可能利用之脆弱性(Vulnerabilities)。 4. 判别信息资产若丧失机密性、完整性与可用性之各项冲击。 E. 评估各项风险: 1. 应加以评估安全措施失效时可能对企业之伤害,并将丧失机密性、完整性与可用性可能导致之后果列入考虑。 2. 根据与这些资产有关之主要威胁、弱点与冲击,评估这种失效实际发生的可能性及现行所实施的控制措施。 3. 预测各风险之层级,如高中低三种级数。 4. 决定风险是否可接受或需利用所建立之标准来处理。 F. 判别并评估风险处理与管理之选项作法;可能的措施包括: 1. 采用适当的控制措施,以降低风险。 2. 若风险完全地满足组织政策及可接受风险标准,则可在掌握状况下客观地接受该等风险。 3. 将风险转移至其它相关之机构,如保险公司、供货商。
4. 回避风险,等于视而不见,这是最不理想的措施。 G. 选择控制目标及控制措施以处理风险: 适当的管制目标与控制措施应于BS 7799标准之附录A的127项控管要点中加以选择,选择时应依据风险评估与风险处理过程之结论为基础加以判定。
备考:BS 7799 附录A所列之各项管制目标与控制措施并非绝对的标准,亦可选择其它方法论之管制目标与控制措施。 H. 拟定一份适用性声明书 将所选择之管制目标与控制措施其选择之理由应于适用性声明书中加以文件化。BS 7799附录A中任何排除之管制目标与控制措施亦应加以纪录。 I. 所提出之残余风险需取得管理阶层之核准,信息安全系统亦需获得授权才能实施与操作。 为什么需要信息安全,
由于信息和支持作业、系统及网络都是重要的营运资产,资产的机密性、完整性、及可用性,攸关能否维系竞争力、现金流量、获利能力、及商业形象。组织本身与其信息系统,网络联机所面临的安全威胁不仅与日俱增,来源也相当广泛,包括计算机辅助的诈欺行为、间谍行为、蓄意破坏、毁损、水灾或火灾等,攻击来源如计算机病毒、黑客及其它手法等都愈来愈普遍、影响也越来越大,技术日益复杂。“ 风险管理的意义 风险管理的目的并不是在百分之百的避免风险(还记得前面曾指出,风险不会100%消失吗,),而是去了解会面临到那些风险,有那些是可以藉由适当的手段予以降低或将之移转,那些风险是无法规避,必须及早规划因应对策者。
同时,风险管理的目的,也不是追求最小的风险,而是让组织选择所能容忍的风险水平,并排除无法承担的风险。 换言之,风险管理是指与辨认、评估及处理风险有关的所有活动及方法。有效的信息安全管理制度并非要消弭所有的信息风险,而是协助组织辨认及评估他们在日常营运过程中所可能面临的风险,进而可以及早采取较佳的方法来管理这些风险,以强化组织的体质及竞争力。 为什么需要风险管理 现今各种组织面临的外在环境存在着许多不确定性,而在全球化高度竞争的时代中,产业变化快速,市场变化莫测,也潜藏着许多危机,使得风险无所不在。从高层营运策略到日常的营运管理,都必须要做风险管理。同时,机会常伴随风险而来,藉由建立风险管理体系,在风险发生的第一时间抢得先机(降低损失或提早避免),也就多了一份机会。 再者,因为许多组织面临的最大风险是不知如何管理风险,也不认为风险是可以管理的。甚至完全不知道有风险存在(还记得前面提过那些沾沾自喜的企业主吗,)或是知道有风险,却不知道如何去管理与执行。 信息风险管理与信息风险评估之关连 风险评估与风险管理 风险评估有助于导入完善的风险管理。 简单地说,ISMS是一套管理潜在信息风险的方法。所谓风险是资产由于外部威胁和内部弱点交互作用而可能导致的损害程度。在成本效益的考虑下,组织控制信息风险的投资应该和潜在的资产损失相关,也就是应该把有效的资源投入在解决最迫切需要的信息风险问题上。也就是透过合理的风险评估过程,让组织了解目前的信息风险等级,以决定采取哪些适当的手段来管理风险。这些手段包括技术性的控制系统和管理办法,用以达到避免、降低、转移或接受风险等目标。 有效的风险管理须依靠良好的风险评估。 ISMS的目标是透过一整体规划之信息安全解决方案来确保企业所有信息系统与业务之安全与正常运作。实务上,ISMS利用风险分析管理工具,结合企业资产列表、威胁来源的调查分析及系统安全弱点评估等结果,综合评估影响企业整体的因素,以订定适当的信息安全政策与信息安全作业准则来降低潜在的风险危机。 同时是执行信息安全管理系统的关键成功因素。
请先参考图3:风险评估与风险管理之程序。 图3:风险评估与风险管理之程序
上图为风险评估和风险管理的过程,也有些学者指出Risk Assessment应翻译成风险评鉴比风险评估为佳,但个人认为此乃见仁见智;评鉴一词固然较为精准,但评估却更为贴近一般使用者的认知。 在风险评估的过程中,组织应先针对: A. 组织内和信息安全有关的资产进行鉴别评价, B. 然后针对鉴别出来的资产进行了解这些信息资产存在着哪些弱点,而又有哪些可能的威胁会利用这些弱点而产生, C. 接下来评估当这些威胁产生时对组织的冲击有多大,对组织的正常营运会带来哪些风险, D. 对所带来的风险进行排列并订出等级。 在风险评鉴之后,我们己经知道了组织可能会遭遇哪些风险,而哪些风险是组织所无法接受的,接下来的是,针对这些无法接受的风险进行管理, A. 首先,先了解组织目前己有的安全措施,
B. 再依鉴别出来的风险采取对应的安全控制措施, C. 并订定相关安全控制措施的执行程序,然后按照既定的程序实施相关的活动, D. 并定期检视残存的风险。
ISO,IEC 17799:2000标准中表示,组织的信息安全能否落实,下列常为关键因素: A. 能反映营运目标的安全政策、目标及活动; B. 与组织文化一致之实施安全保护的方法; C. 来自管理阶层的实际支持和承诺; D. 对安全要求、风险评鉴以及风险管理的深入理解; E. 向全体管理人员和雇员有效推广安全的理念; F. 向所有雇员和承包商宣传信息安全政策的指导原则和标准; G. 提供适切的训练和
教育; F. 评估信息安全管理的绩效及回馈建议,以便进一步改进。 风险评估的迷失 花大钱可买安全,错!! 如果多数信息产品真如广告所述,则使用相应的技术或产品应该可以避免信息安全相关之风险,那么问题出自于何处,关键的思维就在于,其实并「没有100%安全」这样的情况存在,科技技术终究有其局限性。举例来说, 配备第一流科技的军队,仍然需要标准的操典与演训,才能发挥实效。此处借用信息安全专家 Bruce Schneier 的名言:信息安全乃一流程, 而非产品(Information Security is a process, not product)。如果厂商仍然狡黠地辩称其产品依照实验室数据确实可达100%防护,建议你马上请他打道回府,别浪费大家的时间了。因为我们要用的产品是在现实环境中可用的,而不是放在实验室供着!!请大家回想一下几年前,密码学在信息环境中的应用探讨,一度还是显学,为何现在却很少听到呢,因为密码学所有的应用必须配合人员存取控制的落实,它无法单独自成一个应用环境,一旦其外围配合的作业出问题,英雄亦无用武之地。 再举一例,某资安产品的防护能力及侦测敏感度很高,宣称可提高安全无虞,但安装后的实况是:使用者要求安全的环境又不想被打扰,大家一直抱怨系统过于敏感,造成假警报频传,系统管理员迫于无奈,只好将系统暂时予以关闭(有些人是将控制层级降低);殊不知这是黑客所用的投石问路技俩,之前的假警报其实都是黑客所为,目的就是要让组织内部自动降低安全层级,以让其在发动攻击时,增加成功机率。 另外一种是成功机率最高的手法,就是最典型的社交工程,可轻易绕过所有技术措施,直接获得使用账号及密码信息。这些都证明了科技无法解决人性在信息安全领域中的问题,也就是说我们永远要将管理人的议题放在风险评估中。 信息垃圾一文不值?错!! 对蓄意攻击破坏者而言,信息就是信息,纸本数据与电子文件一样好用,很多时候,尤其是对实体环境控管不良或是未落实信息分类管理的单位而言,在垃圾筒中的数据比计算机中的数据更有价值。再举一例,美国麻省理工学院有两位研究生曾做了一份研究,他们从二手计算机商处以不到1000美元的价钱批了158颗硬盘,在整理的过程中,他们找到了5000组以上的信用卡资料、病历表,个人与公司企业的详细财务信息,同时还有好几GB的个人电子邮件及色情档案。 他们把这些发现写成一份「旧资料遗迹:磁盘清理研究」(Remembrance of Data Passed: A Study
of Disk Sanitation)报告,并在IEEE计算机学会(IEEE Computer Society)所发行的IEEE安全与隐私期刊(IEEE Security and Privacy)中发表。 放心!!我们单位的规模不大,不会有人对我们有兴趣。错!! 整个风险评估的范围不是只放在技术面而已,还须同时考虑营运的持续性才对。管理阶级的错误观念除了其本身的成见外,通常都是因为未获得足够的风险分析信息所致;另一方面,幕僚人员也应先了解其单位的关键风险所在,才能与管理阶级做充分的讨论。规模大小不是问题,重要的是它是否有利用价值!! 尤其是政府机构,不能因为被列为C、D级单位就掉以轻心,即便不必采取与A、B级单位相同的控制模式,基本的防护措施仍应实施,否则若不幸成为黑客利用的跳板,其后果将不堪设想。 鸡蛋不能放在同一个篮子中,不一定!! 正因为各单位的人力、资源、预算有限,所以我们不可能同时改善所有缺失或风险,执行风险评估之目的正是希望能有效利用资源。让我们回想一下前面谈过有关风险的本质,你会发现了解背景远比使用那种科技或设备重要。试想,一个不能防止炸弹攻击的安全系统,并不代表它一无是处,可能用传统的门锁、墙壁来加强也可以!!正确的作法,应该是优先就风险评估后的结果,针对最弱的环节,提供深
度的防御。 同样的思考方式可用来考虑另一种情形:要把改进资源放在一个发生机率低的重大威胁,还是放在一群发生机率高的小缺失上呢, 执行风险管理应注意事项 建立管理政策: 信息安全策略目标之首要考虑是,反应组织领导者对风险管理的策略意图与可接受程度,进而将之形成为管理政策,以作为提供商务往来对象及内部员工遵行之依据。例如:对信息环境建构的规划,经由信息技术执行各项业务之控管;或者是确定实施信息安全的范畴与顺序;投入的资源与部署的方法;以及最重要的,信息安全风险的可接受等级。 遵行管理政策: 待信息安全的策略方向与政策确定后,首要之目标即是依照既定之策略,逐步将组织与信息安全政策的遵行,达成一致性。并经由适当的信息风险评估之后,确认目前组织内的信息安全控制,可否满足安全政策的保护目标,由于投入强化控管之成本效益考虑,因此不可能全盘接收所有的控管,因此核心的处理方式为增强控管至「可接受之风险程度」,并将安全控管所需的技术与程序一致化。 充实关键知识: 请先看看以下案例: 泰国的央行,曾于执行防火墙例行升级作业,关闭在线系统与启动备援系统的时段间,遭外部入侵成功。 美国某银行其入侵侦测系统(IDS),由于未定期更新入侵样态之数据库与执行IDS系统升级作业,遭黑客以瘫痪攻击程序(名之为Stick)使IDS瘫痪,丧失监控功能。 高科技厂商的ERP 系统其权限设计不当,使得商业逻辑下需互相制衡的权限,集中于一人手中,导致财务上的损失。 程序开发人员将存取管理之密码或路径于程序代码中设定(Hard Code),造成密码分享,与数据取存目录外泄,针对订制开发的网络下单系统,此为国内常见的漏洞之一。 凡此总总,皆无法单独归咎于技术或产品本身,而在于多数技术工具的使用导入时,未受到导入团队适当的说明与教育,以及如何应用安全技术工具相关的管理技术,这其中最难跨越的鸿沟在于「产业关键知识(Industry Domain Know-How)」。试想不了解网络银行放款、存款、转帐的方式,以及客户往来的需要,如何将网络银行防火墙的过滤规则,设定成可符合银行营运之需要,这也是国内曾发生防火墙失效的原因之一,所以技术方案、管理程序和知识的紧密结合,才是信息安全成功的核心。
管理观念的建立比选用何种信息技术重要: 美国从事信息安全的人员很喜欢把"Security Protocol"、"Need-to-Know",以及"Security Clearance"等后冷战时期的名词挂在嘴边,凡事讲究程序,诸事必形于文件。在系统建置的初期,所有人员的工作职责,权限必先规划清楚。这种态度其来有自。十几年前当因特网尚未成为数据交换的主流时,除了学术单位及少数机构,绝大部份的政府机关的信息共享及交换都建立在封闭系统之上。信息安全人员多由退休的军警或情治人员担任。这些老兵大都曾经经历过美苏冷战的洗礼。所拥有的近乎偏执的危机意识及实战攻防经验都大量地反映在他们所设计的信息安全管理体系之中。这个制度将人、科技及程序紧密的结合在一起,凡是新进入此一信息安全管理体系的组件,都必须经过层层检验。如新进的机器设备,未经规格检验、强化程序及弱点评估,不得轻易上线;新进人员的聘用,未经安全等级之调查、未签署保密协定,就算人力需求迫在眉睫,亦不得进入实体作业环境接触公司之内部数据。 国内信息安全管理机制恰与国外相反,信息技术之运用开始蓬勃发展时,也正是各项信息安全产品、信息安全技术大量发展与成熟之际,惟国内之信息安全人员对于各项新产品与新技术之了解不足,同时对于信息安全之认知亦停留于技术层面,往往对于信息安全之管理层面未予以建立,或尚未落实执行,并将其视为无意义、浪
费人力及时间之工作。以我们执行信息安全风险评估之经验中,多次发现数据库系统、应用系统预设帐号之密码,并未于初次安装后予以变更;系统权限虽做好控管,惟于网络芳邻之分享目录,处处可见未设定密码之机密数据;业务之需求而无相关配套措施,导致防火墙安全漏洞大开。由此可见,国内企业内部人员对于信息安全之认知与安全管理之程序,尚未落实于管理层面。 此一现象可归因于国内的信息安全管理发展,并没有与美国相同的条件与历史背景,惟许多公司却大量使靡逊?购玫陌踩萍疾罚绶阑鹎剑用懿罚肭终觳庀低车龋晕沧罢庑?踩
芳茨芊?影踩芾碜饔茫奕魏纹渌涮椎墓芾砘啤,率瞪险馐侵肿钗,盏乃伎挤绞剑沧傲斯δ芮看蟮姆阑鹎剑淳?屏脊芾淼脑鹑危侗任窗沧叭魏畏阑鹎交刮,铡,庑?酚χ皇钦鲂畔踩逑迪轮诙嗷方诘囊徊糠荩切畔踩逑底詈蟮牟龀晒,魏涡畔踩返难」杭靶畔踩际醯挠τ茫加Ψ胖迷谛畔踩芾硖逑档募芄瓜缕拦乐杀局酥朗滦。卦谄浜蟮男畔踩;胺稍鹑尾攀亲畲笠恰? 对风险评估的充分认知比盲目执行管理程序更重要 回归到风险的本质: 前面提到过风险的本质得知,任何实体世界可能发生的危险,数字世界都会发生~而且更令人可怕的是当这些危险事件发生时,企业主管通常都不知道,而且毫无警觉,反而是拥有公司最高的主机与信息系统的权限的信息系统管理人员得知而且他们还可以执行以及操作企业主管都不会但却攸关企业营运的敏感信息。难道是企业主不愿意编列资安预算,毫无风险概念,还是因为信息单位主管针对信息安全的风险没有善尽告知之责,还是媒体未尽倡导信息安全事件之责,这些可能都是原因,但若企业内部没有进行信息安全的风险评估,没有进行教育训练或相关的成本分析,企业主如何了解信息安全对企业营运及永续经营的重要性, 掌握风险及其冲击才能做出正确管理: 以企业组织熟悉的保险行为而论,大家为何愿意保险,因为每个人都有一把自我可以承受的风险标尺,知道要投入多少成本才可符合当事者的成本效益分析标准;但若当抡叩娜现蛔悖降某杀拘б娼嵊泻艽蟮穆洳睢? 状况1:目前保险公司已有开办「忠诚险」,但其保额与投保单位本身内部风险评估与管理的良窳与否有很大的关连。须知,保险是一种移转风险的管理程序,如果投保单位内部控制不良,没有采取身家调查、人事轮调、责任分工及其它相关的稽核机制等措施,则保险公司当然会限制其投保金额,要不然就是会请投保单位改善,甚至调高保费或不愿承保者也时有所闻~ 状况2:台北市某银行的大直分行,在半年内被抢劫两次,警方调查后发现,在第一次抢案发生后,就已建议业者于安全防护上应加强改进之处仍未改善,以致抢匪仍用相同的方法得手!!这时各位如果是保险公司的代表,是否还会承保呢, 由于执行风险评估亦须先执行信息资产识别;而目前多数企业对于信息资产的价值几乎完全没有概念,也没有针对信息资产进行盘点、分类与鉴价,所以完全不知所以然 或者人云亦云的规划资安设备,如同瞎子摸象的胡乱投医,仅求一个「心安」。而信息资产如果没有清查,便不知需要被保护的资产对象在哪里,是否有遗漏与疏忽,资产如果没有分类,便不清楚哪些资产的价值与重要性最高,需要特别的保护,采取「降低」或者「转移」风险,另外,有些资产虽有风险,但是因为价值风险不高,在资源有限状况下,其风险可以被「接受」。这个道理如同产险一样,价值越高的不动产其保费较高,立论简单也合理,但是在信息安全的领域,企业却不知要如何进行,
目前面临的困难点: 许多高阶主管没有信息安全风险的危机意识,仍将资安工
作交由信息部门人员主导,进而影响信息安全的资源投入(预算、组织运作、资安人才)有限,恶性循环的结果使得信息人员无法独自或者运用组织力量完成信息资产的盘点、分类与鉴价,进而无法提出信息安全的成本效益分析来善尽告知责任让企业主充分了解资安与企业营运的重要相关性。 另外,国内信息安全人才欠缺安善的培训,部门内也无专业与专职的资安人才,信息系统相关的维护厂商也非资安专业人材,国内资安厂商林林总总,参差不齐,如何选择合适的信息安全咨询顾问, 各种信息风险评估作业程序之比较与建议 BS7799 BS7799标准可分为两个部份,第一部份为BS7799-1“信息安全管理之作业要点(Information technology-Code of practice for information security management)”,第二部份为BS7799-2“信息安全管理系统规范(Information security management
systems-Specification with guidance for use)”,英国标准协会(BSI)于1993年成立工作小组讨论信息安全管理系统规范及信息安全管理之作业要点,并己经过了多次的改版,BS7799-1第一部份在2000年由ISO组织投票通过成为ISO,IEC 17799:2000,目前第一部份ISO,IEC 17799:2000(中华民国标准编号为CNS 17799)及第二部份BS7799-2:2002(中华民国标准编号为CNS 17800)为目前最新发行的版本。 第一部份的内容提供了标准的使用者由各行各业讨论后所提出的可行方案,内容非常值得参考,但是第一部份的标准并无法用来验证。第二部份的内容简要的提出信息安全系统执行时需考虑的要点,同时这也是可用来验证的标准。 BS7799-2鼓励采用过程导向以建立、实施、操作、监督、维持及改进组织信息安全管理系统之有效性。组织必须鉴别、管理许多活动方能有效运作。使用资源与管理而促成输入转换为输出之一项活动,可视为一个过程。通常一个过程之输出可直接地成为下一个过程之输入。信息安全系统和ISO9001:2000年版一致地采用”计划-执行-检查-行动”(Plan-Do-Check-Act,PDCA)之模式,应用于所有信息安全管理系统过程。请参照图1所展示信息安全管理系统如何采纳信息安全要求之输入及利害关系团体之期望作为输入端,经由各必要措施及过程,产生符合所需要求及期望的信息安全输出结果。 BS7799包含了所有面向的最先进企业安全政策,从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制,甚至是防毒的策略。BS7799风险评估技术适用于整个组织、或者组织的某一部分以及独立的信息系统、特定系统组件或服务等,进行风险评估需要系统化考虑以下问题: 依据BS7799 风险评估方法论,风险存在于企业所有处理程序中,与竞争环境、法令符合性、保护IT系统的使用及其相关的企业活动、确保企业重要信息的可靠性与有效性、及诈欺有关,所以风险与组织政策及策略直接相关,如扩充、企业再造,紧急投资、开发新产品及服务、经营加值服务或改变供应链管理等。 BS7799风险评估方法论是一个企业处理方法,其目的是为了建立ISMS(信息安全管理系统)之范围、差异分析、风险评估项目及程序;评估风险步骤含:识别ISMS资产、资产的价值、弱点及威胁,评估资产、弱点与威胁时可能产生的冲击及风险分析,如图3。
COBIT 背景:COBIT全名为(Control OBjectives for Information and related
Technology),系由美国信息系统稽核与控制协会(Information Systems Audit and
Control Association,简称ISACA)所发展的一套实用之信息系统稽核与控制标准。COBIT目前最新的版本为第三版,将信息技术控管与营运目标紧密联结,提供了一个涵盖阶段及作业程序的实际架构,及对细部工作的可行性和逻辑性的结构。在今
日极度竞争和快速变迁的市场,许多企业的管理阶层对信息传送的功能要求越来越多:更好的质量、功能和操作接口与更佳的服务质量,而这一切都希望可以用更低的成本达成。然而,成功的企业必须承认,在享受信息技术所产生的潜在利益之余,亦须能了解并管理新科技伴随而来的风险。 信息技术和其操作环境的多项变更突显了对信息相关技术风险管理的需求,因为重要的业务程序维持依赖于电子信息和信息技术系统的正常运作;同时也因层出不穷的信息系统灾害和电子诈欺而显得法令规范对信息控管上更加重要且日益严格。因此,现今信息相关技术风险管理应被视为企业管理的一项重点。 而COBIT是针对营运目标制订的,其控制目标与营运目标紧密结合以供非稽核者亦可使用。控制目标系以作业程序为主的方式,配合企业再造的原则,于特定之阶段及作业程序,提供高层的控制目标,并提供定义及实行信息技术控管的指导原则,目前有二种主要的内部控制模式,一是美国贸易支持组织委员会(COSO)的「整体营运控制模式」以及英国贸工部(DTI)的「专注于信息技术控管模式」。COBIT参考此二种内部控制模式并将其联结,因此,COBIT的角色较像为管理的高层准则,而非只是系统管理的技术标准。 管理阶层应该建立系统化的风险评估架构。这种架构应该将相关风险的规律评估纳入业务目标的成就,构成一种决定如何管理到一个可接受程度的基础。管理阶层应该引导风险减轻解决办法的确认及涉及确认的弱点,防护专家应该引导威胁确认,同时信息专家应该驱使控制筛选。应该藉由结构化的方法及熟练的风险评估员,来确认风险评估的质量。 风险评估方法应该集中于风险基本要素的调查及介于它们之间的因果关系。风险的基本要素包括有形的及无形的资产、资产价值、威胁、弱点、安全设备、威胁的后果与可能性。风险的确认程序应该包括定性,以及在适当的地方,定量的风险等级,并应该从管理阶层的脑力激荡、策略性规则、过去的稽核与其它的评估而获得。风险的评估应该考虑业务、管制、法定、技术、贸易伙伴及人力资源的风险。COBIT的运作架构如图4。
图4: COBIT 运作架构(资料来源:COBIT 3.0) NIST NIST全名为National Institute of Standards and Technology,成立于1901年,为美国贸易部科技管理联邦机构,NIST任务为发展与促成评估、标准及技术,以提高生产力、促进贸易及改善生活质量。为了符合NIST任务目标,有下列四项合作计划: NIST实验室:指导研发国家科技基础建设,为美国产业界提供相关评估、标准、产品与服务。 Baldrige国内质量计划:促进美国国内制造业、服务公司、教育机构、健康管理业者最佳绩效,指导计划及管理年度Malcolm Baldrige国家质量奖,以辨识最佳绩效与质量成就。 大量扩充伙伴:全国性局域网络中心,对较小规模制造业者提供技术及企业协助。
高阶科技计划:用以加快创新技术之发展,且为了开通国家利益,与区域伙伴以共同基金方式研发。 NIST ITSO(Information Technology Security Office)负责NIST信息安全技术议题,其功能系为NIST的管理及科学环境,建置及测试信息安全政策、程序及技术。ITSO也投资于计算机安全部门,报导安全事件或讨论与NIST有关之IT话题。 依据1987年的计算机安全法令,IT实验室计算机安全部门负责为敏感性联邦信息系统及产业工作,发展安全标准及指引来帮助改善商业信息科技产品,这个部门的重要工作在于密码标准及应用、技术安全、安全管理及安全测试。所以,ITSO的好处来自于可接近领域重要专家,而计算机安全部门的好处在于有个可实行研发指引的环境及贡献它的操作经验。 NIST风险评估方法论(Risk
Assessment Methodology),将信息系统风险评估次序性的分成9个步骤,如图5说明如下: 系统描述:以硬件、软件、系统接口、数据与信息、人员及系统任务为输入项目,而产出系统范围、系统功能、系统与数据之重要性及敏感性。 威胁识别:以系统攻击记录、信息机构如NIPC,OIG的数据为输入,而产出威胁列表。 弱点识别:以上次风险评估报告、任何稽核评语、安全需求及安全测试结果作为输入,产出潜在弱点列表。 控制分析:以现行及未来计划之控制机制为输入,产出现行及未来计划控制机制之列表。 决定可能性:以威胁动机、威胁能力、弱点本质及现行控制机制为输入,产生可能性等级。 冲击分析:依完整性、可用性及机密性之破坏面,分别以冲击分析任务、重要资产评估、数据的重要性及敏感性为输入,产出冲击等级。 决定风险:以采掘威胁的可能性、冲击的大小及现行或未来适当的控制机制为输入,产出风险及其相关层级。 控制建议:产出建议的控制机制。
产生文件:产出风险评估报告。
图5 信息系统风险评估方法论(数据来源:NIST) 适用性说明: 实际上有很多种方法被用来评估风险,评分系统是其中一种决定优先级有用的方法,这种评分方法是根据技术的复杂性。控制程序的使用程度,及财务损失等变量作为风险因素来进行评估,以上这些变量不一定可以直接衡量,利用这些风险值互相比较来决定执行风险管理的工作时间表。另一风险评估方法是运用判断,使用这种方法所作的决策通常根据高阶主管的指示、过去的认知、业务的变化等。读者应根据各人所处环境的不同,以及主客观条件的不同等因素,选择适合自己组织的风险评估方法与信息安全管理系统的建置程序。 表1即针对本章所提之三种信息安全标准,整理其异同之处如下: 信息安全标准规范 BS7799 COBIT NIST
发展国家 英国 美国 美国 服务对象 各产业界 各产业界,大多为会计师事务所。 各产业界 发展目的 提供管理要项、控制目标及方法,确保信息之机密、完整及可用性。 1管理、控制与信息:各项作业程序及控管目标2相关技术稽核:以成本为考虑并提供内部稽核指引。 促进评估、标准及技术,以增加生产力、促进贸易及提升生活质量。 信息安全目标
机密性、完整性、可用性 强调信息的效能、效率、机密、真确、可用、遵行与可靠。 针对信息系统之机密性、完整性、可用性 控件目 10个管理要项、36个控制目标、127个控件目。 4大阶段、34个高阶控制目标、318个细部控制目标。 9个步骤 信息资源分类 信息资产、软件资产、物质资产及服务。 数据、应用系统、技术、设施及人员。 硬件、软件、系统接口、数据与信息、人员及系统任务。 风险评估 1评估信息安全漏洞对信息设备带来的威胁和影响及其发生的可能性。 2对资产价值/威胁/弱点列举相关项目、提供风险评估系统化考虑因素(R=AVT)。 1由管理阶层的脑力激荡、策略性规则、过去的稽核与其它的评估进行。 2以受调查区域暴露于风险定量及或定性的测量。 以发生威胁的可能性等级(P值)、冲击等级(I值:完整性、可用性及机密性破坏)决定风险(R=PI)。 风险管理 以可接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其危害最小化。 1实施保护与控制的成本效益分析,确保残余风险的正式纳入。 2提供信息管理成熟模式,建立对风险的评估、监督及控制之机制。 系统威胁、弱点识别,控制及冲击分析,建议控
制并产生评估文件。 是否成为ISO标准 Part1部分(ISO 17799) 无
无 表1: 相关信息安全管理标准比较分析 结论 强化风险管理与应变能力。 当企业信息之运用、环境或目标更迭,则需配合适当评估政策或管理程序的调整,以及技术平台之调整。目前欧美先进国家的信息安全风险管理已不仅限于安全技术与管理,而强化其计算机安全事变的因应与掌握能力,因此所谓的「事变因应机制(Incident Handling)」便应运而生。 然而,良善完备的事变因应, 建构在不断地稽核、监控与对法令的娴熟程度。所以各组织体系针对信息安全风险的终极目标,除了信息安全管理体系的建立之外,基于「没有100%安全」的认知,如何建立「事变因应机制(Incident Handling)」,于信息安全事件发生后,藉由风险转嫁或大幅降低其影响层次,将是最后一道保护门坎。由于信息安全管理的成功,可促成组织、管理、技术的三赢,因此,面对渐趋开放的信息应用环境,信息安全管理的导入实为不可或缺的决策思考。 持续不断的教育训练。 信息安全管理其实所牵涉的范围十分广泛,不像一般人所认为的只是和计算机网络系统相关的方面,它涵盖的范围从单纯防火墙设定,到复杂的人员管理,可以说任何大小事都会有安全层面上的考虑。举个简单的例子来说明:父母都会很自然地告诉自己的小孩,不可以把家中的钥匙交给陌生人或和别人共享,因为这样坏人会进到家中,是很危险的。同样的我们所期待的信息安全也是这样的观念,如果有一天大家都很自然地对自己的密码或认证的信息非常重视,并好好保管,不会轻易和别人分享或采用简单易猜的密码,那时候就是我们所谓真正的信息安全时代,而其有效的作法就是要正确地将信息安全观念根深蒂固地传达到每个人的心中,并随时依现实状况让同仁们加强观念。 重新思考信息安全资源之合理分配。 现实的状况是,信息安全一般仍然被视为是信息人员的责任,但是信息人员是否有足够的预算及支持,一个有趣的问题是公司究竟在信息安全上投资多少资源,在国内大概是占信息预算的5%,而且大部份是买信息安全之软、硬件,要以有限的预算去保护公司最有价值的资产,恐怕不易。同时我们发现到,许多经营管理当局者未能将信息安全管理纳入整体管理系统中,反而在网络安全防范上则投资相当之金额以防范外部入侵威胁,这些就以往发生之重大资安事件来看,损失金额并不大;相对的,内部人员之舞弊或信息错误中断造成营运受到影响,恐怕损失更多。因此,信息安全资源之分配是否正确,值得深思。 高阶管理层级要正视风险。 我们重新检视一下信息安全的目的,其实不难了解其对组织营运之重要性,包括确保各项交易具有可被信赖之质量;建立系统遭攻击可以应付的能力、避免系统中断、机密数据被误用等。问题是这些风险是否有被充分反映给高阶管埋层级,对大部份的管埋层级而言,信息控制或安全管理并不经常被列列为重要议题来做讨论;反之,企业是否要导入ERP系统及供应链系统或企业电子化,则经常在高层管理会议中可看到,但对于进行这些重大信息系统投资项目时,如何确保信息系统之完整正确及可靠,则少受到注意。所以经常看到系统在上线后发生数据错误,无法达成信息导入之目标;我们也常看到有些公司未善尽保护客户个人计算机数据而造成商誉损失等诉讼情事,这些都可以透过信息安全基础建设予以预防,也是身为信息管理幕僚单位人员责无旁贷之职,应提供完整的数据及具备正确的观念以供高层管理主管了解,并可做适当之判断。 信息安全常被认为是负面的、会阻碍发展的、是不方便的、是要花成本的、是多余的工作,所以就不是需要优先处理的工作,特别是在信息人员极端精简且工作繁重的情
况之下,信息风险就容易被忽略了;「主管对信息议题可能没有兴趣,我们不要自找麻烦」;「我们有防火墙」…等;这些通常都成了管理人员的挡箭牌。可是请不要忘了,大部分遭受重大资安事件损失之公司均有防火墙;美国恩隆事件中,公司也有完整的内控内稽制度,其实组织文化及人员管理很可能才是信息安全做不好的真正原因。 避免重蹈覆辙。 最后我们想要强调的是,近年来有不少有识之士一再提醒,信息安全管理制度的建立与认证之推广,千万不要重蹈某些ISO证照浮滥之覆辙。而其中最重要的就是决策阶层对于自身单位所面临的风险及其判断信息是否足够,当然这其中也包括了前述幕僚单位应有责任提供正确且完整的信息。所以这是一项不分职级高低,需要大家共同动员的工作。而申请认证是一项值得追求的目标,但重要的是在其准备过程中,各单位或组织是否真正从中学习到正视风险,进而采取适当的风险管理程序,形成从上而下一致遵行的企业文化,这才是申请认证的正确态度。 参考文件与标准 ISO 17799 / CNS17799 BS7799 Part 2,2002 / CNS17800 COBIT (Control Objectives of Information Technology version) 3.0 NIST
(National Institute of Standards and Technology) “CISA Review Manual”, ISACA,
2003 “Secrets and Lies”, Bruce Schneier, 2001 ”建立我国资通安全教育训练中程计划”,国家资通安全会报综合业务组,91年 “在线犯罪泛滥,网络警察出列”,林宜隆,资安人杂志创刊号,92年3月。 “资通安全鉴识之挑战与响应”, 林宜隆,资安人杂志第2期,92年5月。 “计算机稽核与信息安全管理”,黄淙泽,信息安全杂志,92年5月。 “成功导入资安管理关键要素”,万糼筠,资安人杂志创刊号,92年3月。 “电信业资安管理精义”,徐子文,资安人杂志创刊号,92年3月。 “洞悉破窗效应,企业安全加分”,徐子文,资安人杂志第2期,92年5月。 “管理面与技术面孰轻孰重,”,吴佳翰、陈怡良,资安人杂志创刊号,92年3月。 ”ISMS的省思”,陈旭东,寛华网络电子报第40期,92年3月。 三、作者简介: 林宜隆博士 中央警察大学信息管理系暨研究所专任教授 中华民国计算机稽核协会常务理事兼编译出版委员会主任委员 黄淙泽先生 前中华民国计算机稽核协会秘书长 现任中华民国计算机稽核协会理事兼教育训练委员 远传电信企业安全部项目经理
PAGE Page: PAGE 3 of NUMPAGES 25
范文三:信息安全风险评估
信息安全风险评估
陕西省数字证书认证中心
信息安全风险评估
很高兴有机会跟大家探讨一下风险评估方面的问题,首先简单地讲一下信息安全风险评估的概念。近两年来,信息安全风险评估问题是我们信息安全界的热门话题之一,也是大家都非常关心的一个问题。从国际上的情况来看,也是各国都在探索的一个问题。
第一个方面,什么叫信息安全风险评估呢?信息系统的安全风险,我在这里列了四个要素来综合起来说明这个问题,系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素。信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程,我想人们认识能力和实践能力,从阶段性的考虑来说总是有局限性的。
因此信息系统存在的脆弱性是不可避免的,经过几十年的研究,大家发现这是由于人为的错误所造成的,对于现在我们所使用的一个庞大的、复杂的技术系统来说,恐怕在长时间内是不可避免的。因此,在现实环境中,人们总是要面临着各种各样的威胁,或者是信息安全风险是必然的。在这种情况下,通过适当的、足够的,有时候是综合的安全措施来控制风险,最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。
第二个方面,风险评估的意义和作用。1.风险评估是信息系统安全的基础性工作,它是观察过程的一个持续的工作。2.风险评估是分级防护和突出重点的具体体现。前面沈院士讲了等级保护,他有一个重要的思想,等级保护的出发点就是要突出重点,要突出重点要害部位,分级负责,分层实施。3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持,生命周期有几个阶段,有规划和启动阶段,设计开发或采购阶段等等。信息系统在设计阶段的时候,现在大家很关注的还是在设计阶段,国家对这方面也做了很多的工作。
信息安全风险评估的目标和目的,信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况,有助于达成公式,明确责任,采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性,这是一个非常非常重要的问题。我们检查性的评估,都是为了使信息安全评估策略贯彻得到始终如一的支持。
第三个方面,信息安全风险评估的基本要素。探讨信息安全风险评估的基本要求,有助于我们思考一些问题。现在的信息系统可以是一个组织乃至个人组织、乃至国家完成使命的一种手段,因此要从使命出发。由于信息化取得了很多的成果,得到了很广泛的应用,所以他们就产生了资产,这个资产的问题,我们和经济学家探讨的时候还有一些不同的看法,但是他们也有普遍的认识,我们用信息资产这个概念来描述我们信息化的成果,或者我们在信息化过程中从中衡量,也许信息资产的概念是最直接的概念,当然它也存在一个量化问题。信息安全威胁方面,我们当前信息化过程中有来自很多方面的威胁,既有人为的,也有自然的,都可能对我们信息系统造成威胁。信息安全事件是大家现在比较关注的一个话题,通过
我们以前调研发现,人们只有在具体的事件中才能逐渐认识信息安全的利益所在,所以我们在评估的时候要关注以往发生的事情和别人发生的事情。残余风险,风险不可能完全消除,由于信息化的发展,信息系统已经渗透到这个社会生活的各个方面,已经逐渐成为一个谁也离不开的东西,因此的信息化所带来得好处,会受到方方面面的危险,因此它的风险也许在相当长的时间之内完全消除是不现实的,所以必须承认即使我们采取了措施,即使我们加强了保护,即使我们投入了很多的资源,最终我们还是要面临风险。因此,这个风险管理、风险意识,特别是现在的情况下,要引起我们的注意。安全措施,在我们采取的安全措施再去评估,要考虑对安全措施加以评估,我们已有的安全措施是否还有效,是否有待加强。前面几位先生都讲到安全措施一般分为保护、检测、响应,还有恢复,当然还有管理,现在大家讨论的话题说这个措施要从管理、技术、运行三个方面去考虑。通过安全措施对资产加以保护,对脆弱性加以弥补,从而可降低风险。实施了安全措施后,威胁只能形成残余风险。而这个过程中往往是很多措施共同起作用的过程,所以27号文件就提出来,积极防预、综合防范的策略原则。我们要考虑采取措施往往是综合的,特别是安全比较高的系统往往采取综合性的措施加以防范。
下面,我们看一下我国信息系统安全风险评估的现状和问题。我国信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。存在的问题,1.信息系统安全风险评估的研究积累不足。2.缺乏信息系统安全风险评估的规范化标准。3.缺乏人才。4.信息系统安全风险评估的角色和责任有待进一步明确,这里涉及到一些人、管理体系、决策和责任有待进一步完善。5.风险评估存在的风险,由于与信息系统漏洞有关的信息,而造成的一些风险。
我国在信息安全产品的测评认证方面开展了一些工作,积累了一些经验,但是对信息系统的风险评估还处于起步阶段,有待规范提高,并需纳入等级保护的机制中,已经显现的问题和可能发生的问题,也有待深入研究,提出解决方法。
希望借这个机会呼吁一下,大家共同来研究信息安全风险评估问题,把我们的信息安全工作做得更好。谢谢大家!
(作者:国信办网络与信息安全组专家 贾颖禾)
范文四:信息安全风险评估
信息安全风险评估
一、风险评估概述
信息安全风险评估是明确安全现状,规划安全工作,制订安全策略,形成安全解决方案的基础,风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险评估可帮助组织完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,分析业务运作和组织管理方面存在的安全缺陷,评估重要业务应用系统自身存在的安全风险,评价业务安全风险承担能力,并给出风险等级,利用风险评估管理系统扩展评估过程和评估结果,为组织提出建立风险控制建议,有利于组织对信息系统实施风险管理。
二、
风险评估的要素
三、风险评估的标准
信息安全风险评估时主要参考如下标准:
l
l
l
l
l
l
l
l
lBS7799-1(ISO/IEC17799:2005)ISO/IECTR13335信息技术安全评估公共标准CCAS/NZS4360风险管理标准NISTSP800-53/60COBITGB/T20984—2007《信息安全技术信息安全风险评估规范》《信息安全风险评估指南》……等等
四、风险评估的方法
1.定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、管理评估、策略评估、业务系统风险评估等。
2.安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
4.敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。
五、风险评估的流程
五、风险分析阶段六、风险管理阶段六、特点
l
l
l符合国际、国内、行业的风险评估和管理标准;涉及IT运维和IT治理的各个层面;定制化的服务,帮助客户迅速发现信息安全的关键点
七、适用范围
l
l
l
l
l需要了解企业安全现状的客户;当企业进行IT规划设计时在企业发生计算机安全事件后,或怀疑可能会发生安全事件时;关心组织现有的信息安全措施是否有效时;当需要对组织安全状况进行周期性评估,以查看是否满足组织持续运营时。
八、用户收益
风险评估服务可以帮助客户明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境以及信息安全策略和制度等信息,准确了解企业的网络、系统以及管理的安全现状。
全面给出业务系统面临的安全隐患和脆弱性报告,使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。
清晰的展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。
范文五:信息安全风险评估
信息安全风险评估
学院:商学院
专业:信息管理与信息系统
姓名:徐彬
学号: 0812104613
目录
一、信息安全风险评估简介 .......................................................... 3
二、信息安全风险评估流程 .......................................................... 3
1.风险评估准备 ......................................................................... 3
2.资产识别 ................................................................................. 3
3.威胁识别 ................................................................................. 3
4.脆弱性识别 ............................................................................. 4
5.风险分析 ................................................................................. 4
三、信息安全风险评估策略方法 .................................................. 5
1)定量分析方法 ...................................................................... 5
2)定性分析方法 ...................................................................... 5
3)综合分析方法 ...................................................................... 6
四、信息安全风险评估的注意事项 .............................................. 6
1、各级领导对评估工作的重视 ............................................... 6
2、加强评估工作的组织和管理 ............................................... 6
3、注意评估过程中的风险控制。 ........................................... 6
4、做好各方的协调配合工作。 ............................................... 7
5、提供评估所必须的保障条件。 ........................................... 7
信息安全风险评估
一、信息安全风险评估简介
信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。
二、信息安全风险评估流程
信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别和风险分析5个阶段。
1.风险评估准备
该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团队,明确各方职责。 在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方关注的重点,明确风险评估的范围和目标,为整个风险评估工作提供向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。
2.资产识别
做好风险评估准备阶段的相关工作之后,需要通过多种途径采集评估对象的资产信息,为风险评估后续各阶段的工作提供基本素材。
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类,防止遗漏,划入风险评估范围和边界内的每一项资产都应经过仔细确认。
3.威胁识别
在识别威胁时,应根据资产目前所处的环境条件和以前的记录情况来判断,威胁
识别主要通过采集入侵检测系统(IDS)的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确保收集到的威胁信息客观准确,威胁问卷调查的对象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。 威胁识别的关键在于确认引发威胁的人或事物,威胁源可能是蓄意也可能是偶然的因素,通常包括人、系统和自然环境等。一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁发生的可能性进行评估,列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。
4.脆弱性识别
脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节,同时也是非常重要的环节,对评估工作小组成员的专业技术水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分析现有的管理制度来完成;技术脆弱性检测主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。
在工作过程中,应注意脆弱性识别的全面性,包括物理、网络、应用和管理等方面。为了分析脆弱性影响的严重程度,最好对关键资产的脆弱性进行深度检测和验证,比如关键服务的身份认证等。识别完成之后,还要对具体资产的脆弱性严重程度进行赋值。脆弱性严重程度可以等级化处理,不同等级分别表示资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
5.风险分析
构成风险的要素主要有资产、威胁和脆弱性,在识别了这些要素之后,就可以确定存在什么风险。风险分析阶段需要完成的工作主要有3项:风险计算、形成风险评估报告和给出风险控制建议。风险计算是针对每一项信息资产、根据其自身存在的脆弱性列表、所面临的威胁列表,考虑资产自身在信息系统中的重要程度(资产赋值),依据风险计算公式,计算出该信息资产的风险值,最终形成风险列表。风险评估报告主要结合风险评估工作过程中采集到的中间数据,对信息系统中的安全风险进行定性和定量分析。风险控制建议主要由评估工作小组在对被评估对象的安全现状进行综合分析的基础上,有针对性地给出。
风险只能被预防、避免、降低、转移或接受,而不可能完全消除。高风险和严重风险是不可接受的,必须选择实施相应的对策来消减。对于中等风险和低风险,可以选择接受,一般评估工作小组应针对被评估对象的中低风险给出风险控制建议。
此阶段的输出主要包括:《信息安全风险评估风险列表》、《信息安全风险评估报告》、《信息安全风险评估风险控制建议》等。
三、信息安全风险评估策略方法
目前,信息安全风险评估的方法层出不穷,这些方法在很大程度上缩短了信息安全风险评估所花费的资源、时间,提高了评估的效率,改善了评估的效果。按照各因素计算数据要求的程度,可以将这些方法分为为定量分析方法、定性分析方法和综合分析方法。
1)定量分析方法
定量分析方法是指对度量风险的所有要素赋予一定的数值,依据这些数据,建立数学模型,把整个信息安全风险评估的过程和结果进行量化,然后对各项指标进行计算分析,通过这些被量化的数值对信息系统的安全风险进行评估判定。简单地说,定量分析就是用数量化的指标数值来对风险进行评估。比较常见的定量分析方法有 Markov 分析法、时序序列分析法、因子分析法、决策树法、聚类分析法、熵权系数法等。定量分析方法的优点是分类清楚,比较客观;缺点是容易简单化、模糊化,造成误解和曲解。
2)定性分析方法
定性分析方法不需要严格量化各个属性,只是采用人为的判断,依赖于分析者的经验、直觉等一些非量化的指标,主观性很强,
对风险评估者的经验等要求
很高。它可以较好的挖掘出一些蕴藏很深的思想,使做出的评估结论更全面、更深刻。在采用定性分析方法进行评估时,不使用具体的数量化的数据,而是对各个指标给出一定的指定期望值,利用这样一种非量化的形式对信息系统的安全风险做出判断。常见的定性分析方法有德尔菲法(Delphi Method)、可操作的关键威胁、资产和脆弱评估方法(OCTAVE,Operationally Critical Threat,Asset and Vulnerability Evaluation)等。定性分析方法的优点是可以挖掘出一些蕴藏很深的思想,使评估的结论更全面深刻;缺点是主观性强,对评估者要求很高。
3)综合分析方法
定量分析方法和定性分析方法是相辅相成、相互联系的。定量分析法是定性分析法的基础和前提,反过来,定性分析法又是建立在定量分析法基础上揭示客观事物内在规律的。在复杂的校园信息化信息系统风险评估中,要将定量分析法和定性分析法融合起来使用,这就是综合分析方法。在本文中针对数字化校园的信息安全风险评估中也采用综合分析方法。
四、信息安全风险评估的注意事项
做好风险评估工作,特别要注意以下5方面的工作。
1、各级领导对评估工作的重视
风险评估工作只有得到各级领导的广泛认同和支持,才能顺利地开展并卓有成效地进行,获得客观、真实和有效的评估结果,作为今后信息安全建设的重要参考依据。
2、加强评估工作的组织和管理
信息安全风险评估工作启动后,应及时组建评估项目组,加强对整个评估工作的组织和管理。项目组主要包括项目领导小组、项目负责人和项目工作小组。
3、注意评估过程中的风险控制。
评估工作过程中所面临的风险,主要是敏感信息泄露和评估过程中的各种技术性评估带来的。规避敏感信息泄露风险,主要应该注意几点:一是参与评估的人员必须遵守国家有关信息安全的法律法规以及总行关于信息安全的相关管理规定,承担相应的义务和责任;二是被评估方应与参与评估的所有人员签订具有法律约束力的保密协议;三是评估过程中做好审核确认工作。对于规避技术性评估所带来的风险,例如进行漏洞扫描有时引起扫描对象宕机等,在制订各种技术性评估方案时,应当由被评估方和评估方共同审核确认,尽量避免采取可能造成
不良影响的操作,最好事先经过测试。
4、做好各方的协调配合工作。
信息安全风险评估工作涉及信息系统的主管部门、建设单位或上级机关、运行维护部门、使用部门、安全管理部门和保密部门以及技术支持单位和产品或服务提供商。因此需要高层领导直接组织,需要被评估方和评估方的密切配合,相互支持。
5、提供评估所必须的保障条件。
在评估过程中,要考虑完成信息安全风险评估工作的相关保障条件,包括人员、时间和经费等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派,也可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效,需要有一定的时间保障,尤其是评估准备阶段,需要花较长的时间精心准备。此外,风险评估还要有一定的经费支持,可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。
转载请注明出处范文大全网 » 信息安全管理制度附件:信息安