信息安全风险管理
信息安全知识
1、风险管理对信息安全有何意义?
“知己知彼,百战不殆。知己而不知彼,即使获得胜利也损失惨重。既不知己又不知彼,每战必败。”
为了取得信息安全管理的胜利,必须知己知彼。
知己,首先必须识别、检查和熟悉机构中当前的信息及系统,这是不言而喻的。要想保护资产就必须熟悉它们是什么,它们对机构的价值,以及可能有哪些漏洞。资产在这里是指信息及使用、存储和传输这些信息的系统。
知彼,知彼,这就意味着识别、检查并熟悉机构面临的威胁。必须确定出对机构信息资产的安全影响最直接的威胁。然后,通过对这些威胁的理解,按照每项资产对于机构的重要程度,建立一个威胁等级列表。
2、资产的概念包含哪些内容?
所谓资产就是被组织赋予了价值、需要保护的有用资源。在信息安全体系范围内,一项非常重要的工作就是为资产编制清单。每项资产都应该清晰的定义,合理的估价。在组织中明确资产所有权关系,对资产进行安全分类,并以文件形式详细记录在案。
资产价值是指机构所拥有的固定资产、无形资产体现出来的价值。为了明确对资产的保护,有必要对资产进行估价。其价值大小不仅仅要考虑其自身的价值,还要考虑其对组织机构业务的重要性,在一定条件下的潜在价值以及与之相关的安全保护措施。因此,在信息系统中资产的价值可以用信息或其它技术资产的泄露、非法修改或被破坏等造成的影响的程度来衡量。
3、威胁是指什么?
威胁是指可能对资产或组织造成损害的事故的潜在原因。例如,网络系统可能受到来自计算机病毒和黑客攻击的威胁。
4、脆弱性是指什么?
所谓脆弱性就是资产的弱点或薄弱点,这些弱点可能被威胁利用,造成安全事件的发生,从而对资产造成损害。脆弱性本身并不会引起损害,它只是为威胁提供了影响资产安全性的条件。
5、风险管理的概念有哪些?
安全风险,所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。通过确定资产价值及相关威胁与脆弱性的水平,可以得出风险的度量值。
6、风险评估的主要任务包括哪些?
识别组织面临的各种风险,评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险降低和控制的优先等级;推荐风险降低对策;
风险评估也就是确定安全风险及其大小的过程,即利用适当的风险评估工具,
包括定性和定量的方法,确定资产风险等级和优先控制顺序。
7、风险管理的过程
所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。
风险管理通过风险评估来识别风险大小,通过制定信息安全方针,使风险被避免、转移或降至一个可被接受的水平。
8、风险评估
识别了机构的信息资产及其威胁和漏洞后,就可以评估每个漏洞的相关风险了。这是通过风险评估过程来完成的。风险评估给每项信息资产分配一个风险等级。
9、风险控制
通过风险识别和风险评估后,风险管理的下一步工作就是对风险实施安全控制,以确保风险被降低或消除。
10、风险控制策略
信息安全管理人员在进行风险控制时,可以根据实际情况选择如下基本策略,来控制风险:
(1)避免——采取安全措施,消除或者减少漏洞的不可控制的残留风险。
(2)转移——将风险转移到其他区域,或者转移到外部。
(3)缓解——减少漏洞产生的影响。
(4)接受——对残留风险进行确认和评价的过程。
