3cisp培训教程cisp3风险管理

1、 1 认识风险认识风险 2 风险管理体系风险管理体系 3 风险评估方法风险评估方法 4 风险评估的实施过程风险评估的实施过程 课程内容 1 认识风险认识风险 1.1 参考资料参考资料 1.2 风险评估的需求风险评估的需求 1.3 风险的定义风险的定义 1.4 风险的要素风险的要素 课程内容 2 风险管理体系风险管理体系 课程内容 2.1 风险管理的概念风险管理的概念 2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68 3 风险评估的方法风险评估的方法 课程内容 3.1 风险评估方法概述风险评估方

2、法概述 3.2 定量的风险评估定量的风险评估 3.3 定性的风险评估定性的风险评估 3.4 基于要素的风险评估基于要素的风险评估 3.5 定性风险评估与定量评估的比较定性风险评估与定量评估的比较 4 OCTAVE风险评估的实施过程风险评估的实施过程 课程内容 课程练习 1. 1. 对练习一中所识别的风险进行定性分析。对练习一中所识别的风险进行定性分析。 2. 2. 要求：要求： 1 1）列出后果和可能性的定性描述级别）列出后果和可能性的定性描述级别 2 2）依据风险分析矩阵评估风险的级别）依据风险分析矩阵评估风险的级别 3 3）给出各级别风险的处理措施）给出各级别风险的处理措施 练习二练习二

3、定性的风险评估定性的风险评估 练习三练习三 基于要素的风险评估基于要素的风险评估 积极参与，活跃气氛积极参与，活跃气氛 守时守时 移动电话设置到静音状态移动电话设置到静音状态 紧急情况下有秩序疏散紧急情况下有秩序疏散 1.1 参考资料参考资料 1.2 风险评估的需求风险评估的需求 1.3 风险的定义风险的定义 1.4 风险的要素风险的要素 1 认识风险认识风险 1.1 重要参考重要参考资料 ISO 13335 17799 15408 BS 7799-2 BSI PD3000 AS/NZS 4360 OCTAVE GAO/AIMD 98-68 1.2 风险评估的目的 组织为什么要进行风险评估？

4、l 组织实现信息安全的必要的、重要的步骤组织实现信息安全的必要的、重要的步骤 风险评估的目的 1.2 风险评估的目的 l 了解组织的安全现状了解组织的安全现状 l 分析组织的安全需求分析组织的安全需求 l 建立信息安全管理体系的要求建立信息安全管理体系的要求 l 制订安全策略和实施安防措施的依据制订安全策略和实施安防措施的依据 1.3 风险的定义 普通字典的解释： 风险：遭受损害或损失的可能性。 AS/NZS 4360：澳大利亚/新西兰国家标准： 风险：对目标产生影响的某种事件发生的机会。它可以 用后果和可能性来衡量。 Risk: the chance of something happeni

5、ng that will have on impact upon objectives. It is measured in terms of consequences and likelihood. 1.3 风险的定义 后果后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤以定性或定量方式表示的一个事件的结果，可以是损害、伤 害、失利或获利。害、失利或获利。 可能性可能性 Likelihood 用作对几率或频率的定性描述。用作对几率或频率的定性描述。 几率几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件以事件或结果与可能发生事

6、件或结果的总数之比来度量事件 或结果的可能性。用数字或结果的可能性。用数字0或者或者1来表达。来表达。 频率频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。以规定时间内所发生的次数来表达的事件发生率的度量。 1.3 风险的定义 与风险有关的名词： ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱安全风险：是指一种特定的威胁利用一种或一组脆弱 性造成组织的资产损失或损害的可能性。性造成组织的资产损失或损害的可能性。 Risk: the potential that a given threat will exploit v

7、ulnerabilities of an asset or group of assets to cause loss or damage to the assets. 1.3 风险的定义 在信息安全领域，什么是风险？ 1.3 风险的定义 信息安全的定义（信息安全的定义（ISO17799）：）： Information security is characterized here as the preservation of: a)Confidentiality b)Integrity c)Availability 信息安全的三个特征： 保密性：确保只有被授权的人才可以访问信息；保密性：确保只

8、有被授权的人才可以访问信息； 完整性：确保信息和信息处理方法的准确性和完整性；完整性：确保信息和信息处理方法的准确性和完整性； 可用性：确保在需要时，被授权的用户可以访问信息和相关可用性：确保在需要时，被授权的用户可以访问信息和相关 的资产。的资产。 1.3 风险的定义 信息安全风险 l 信息安全风险是指信息资产的保密性、完整性和可用信息安全风险是指信息资产的保密性、完整性和可用 性遭到破坏的可能性。性遭到破坏的可能性。 l 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。 1.3 风险的定义 风险的四个要素： l 资产及其价值 l 威胁 l 脆弱性

9、 l 现有的和计划的控制措施 1.4 风险的要素 资产是任何对组织有价值资产是任何对组织有价值的东西的东西 信息也是一种资产，对组织具有价值信息也是一种资产，对组织具有价值 1.4 风险的要素 资产 1.4 风险的要素 资产的分类 电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 服务性资产服务性资产 公司形象和名誉公司形象和名誉 威胁 威胁是可能导致信息安全事故和组织信息资产损失威胁是可能导致信息安全事故和组织信息资产损失 的活动的活动 威胁是利用脆弱性来造成后果威胁是利用脆弱性来造成后果 1.4 风险的要素 威胁举例： 黑客入侵和攻击黑客入侵和攻击

10、病毒和其他恶意程序病毒和其他恶意程序 软硬件故障软硬件故障 人为误操作人为误操作 自然灾害如：地震、火灾、爆自然灾害如：地震、火灾、爆 炸等炸等 盗窃盗窃 网络监听网络监听 供电故障供电故障 后门后门 未授权访问未授权访问 1.4 风险的要素 脆弱性 是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件脆弱性本身并不对资产构成危害，但是在一定条件 得到满足时，脆弱性会被威胁加以利用来对信息资得到满足时，脆弱性会被威胁加以利用来对信息资 产造成危害。产造成危害。 1.4 风险的要素 脆弱性举例： 系统漏洞系统漏洞 程序程序Bug 专业

11、人员缺乏专业人员缺乏 不良习惯不良习惯 系统没有进行安全配置系统没有进行安全配置 物理环境不安全物理环境不安全 缺少审计缺少审计 缺乏安全意识缺乏安全意识 后门后门 1.4 风险的要素 风险要素之间的相互关系：风险要素之间的相互关系： 1.4 风险的要素 威胁视图：威胁视图： 1.4 风险的要素 脆弱性视图：脆弱性视图： 1.4 风险的要素 影响视图：影响视图： 1.4 风险的要素 2 风险管理体系风险管理体系 2.1 风险管理的概念风险管理的概念 2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-

12、68 风险管理：风险管理： 2.1 风险管理的概念风险管理的概念 风险管理的应用时机风险管理的应用时机 2.1 风险管理的概念风险管理的概念 2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO17799：信息安全管理体系：信息安全管理体系 2.2.2 AS/NZS4360：风险管理标准：风险管理标准 2.2.1 GAO/AIMD 98-68：信息安全管理实施指南：信息安全管理实施指南 2.2.1 ISO17799 是协助组织以是协助组织以“风险管理风险管理”为基础建立为基础建立 “信息安全信息安全 管理体系管理体系”的国际标准。的国际标准。 信息安全管理体系建立步骤信息安全管理体系建

13、立步骤（BS7799-2） 制订信息 安全方针 方针文档 定义ISMS 范围 进行风险 评估 实施风险 管理 选择控制 目标措施 准备适用 声明 第一步： 第二步： 第三步： 第四步： 第五步： 第六步： ISMS范围 评估报告 文件 文件 文件 文件 文件 文件 文档化 文档化 声明文件 2.2.1 ISO17799 AS/NZS4360:建立风险管理系统的步骤建立风险管理系统的步骤 2.2.2 AS/NZS 4360 监控和审查监控和审查 信息交流和咨询信息交流和咨询 Australian / New Zealand Standard for Risk Management AS/NZS4

14、360：风险管理流程：风险管理流程 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68 EXECUTIVE GUIDE: Information Security Management 建立核心管理焦点 识别风险和确定安全需求 安全意识和知识培训 实施适合的安全 策略和控制措施 监督并审查安全策略 和措施三的有效性 2.

15、2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 2.2.3 GAO/AIMD 98-68 3 风险评估方法风险评估方法 3.1 风险评估方法概述风险评估方法概述 3.2 定量的风险评估定量的风险评估 3.3 定性的风险评估定性的风险评估 3.4 基于要素的风险评估基于要素的风险评估 3.5 定性风险评估与定量评估的比较定性风险评估与定量评估的比较 定义： 组织确认自己所拥有的资产，分析资产所面对的

16、威胁、组织确认自己所拥有的资产，分析资产所面对的威胁、 所具有的脆弱性、损害发生的可能性、损害的程度等，并最所具有的脆弱性、损害发生的可能性、损害的程度等，并最 终得出资产所面临的风险等级的过程。终得出资产所面临的风险等级的过程。 3.1 风险评估方法概述风险评估方法概述 原则：不管使用哪一种风险评估的方法或工具，其内容原则：不管使用哪一种风险评估的方法或工具，其内容 都应包括以下四个要素：都应包括以下四个要素： 3.1 风险评估方法概述风险评估方法概述 资产价值资产价值 可能胁迫资产的威胁和其发生的可能性可能胁迫资产的威胁和其发生的可能性 因脆弱点被威胁利用而造成冲击的容易度因脆弱点被威胁利

17、用而造成冲击的容易度 目前或计划中可能降低脆弱点、威胁和冲击严重性目前或计划中可能降低脆弱点、威胁和冲击严重性 的保护措施的保护措施 换句话说，风险是以下事项的作用：换句话说，风险是以下事项的作用： 3.1 风险评估方法概述风险评估方法概述 要考虑影响和可能性要考虑影响和可能性 在决定所需控制方法时，对既有控制方法的评估是必须的在决定所需控制方法时，对既有控制方法的评估是必须的 控制方法只能将风险降低到可接受的程度控制方法只能将风险降低到可接受的程度 百分之百的安全，并不是安全管理的目的。百分之百的安全，并不是安全管理的目的。 3.1 风险评估方法概述风险评估方法概述 注意注意 定量分析定量分

18、析 定性分析定性分析 综合方法综合方法 3.1 风险评估方法概述风险评估方法概述 风险评估的途径：风险评估的途径： 定量分析：定量分析： 对后果和可能性进行分析对后果和可能性进行分析 采用量化的数值描述后果（估计出可能损失的金额）采用量化的数值描述后果（估计出可能损失的金额） 和可能性（概率或频率）和可能性（概率或频率） 分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。 3.1 风险评估方法概述风险评估方法概述 定性分析适用于：定性分析适用于： 初始的筛选活动，以鉴定出需要更仔细分析的风险初始的筛选活动，以鉴定出需要更仔细分析的风险 风险程度和经济上的考虑

19、风险程度和经济上的考虑 数据不足以进行定量分析的情况数据不足以进行定量分析的情况 定性分析：定性分析： 对后果和可能性进行分析对后果和可能性进行分析 采用文字形式或叙述性的数值范围描述风险的影响采用文字形式或叙述性的数值范围描述风险的影响 程度和可能性的大小（如高、中、低等）程度和可能性的大小（如高、中、低等） 分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。 3.1 风险评估方法概述风险评估方法概述 半定量分析：半定量分析： 在半定量分析中，上述的那些定性数值范围均为已知值。在半定量分析中，上述的那些定性数值范围均为已知值。 每项说明所指的数字并不一定与

20、后果或可能性的实际大小每项说明所指的数字并不一定与后果或可能性的实际大小 程度具有精确的关系。程度具有精确的关系。 半定量分析的目的是为了得到比通常在定性分析中所得到半定量分析的目的是为了得到比通常在定性分析中所得到 的更为详细的风险程度，但并非要提出任何在定量分析中的更为详细的风险程度，但并非要提出任何在定量分析中 所得到的风险实际值。所得到的风险实际值。 3.1 风险评估方法概述风险评估方法概述 风险分析方法风险分析方法 l许多方法都会使用表格并结合主观和经验判断许多方法都会使用表格并结合主观和经验判断 l目前并没有使用所谓正确或错误的方法目前并没有使用所谓正确或错误的方法 l重要的是选择

21、使用一个适合本组织的方法重要的是选择使用一个适合本组织的方法 l同一组织内，也可以根据不同等级的风险，运用同一组织内，也可以根据不同等级的风险，运用 不同的风险分析方法不同的风险分析方法 l对信息安全的评估很难量化对信息安全的评估很难量化 3.1 风险评估方法概述风险评估方法概述 当部分的公司资产已具有量化的价值当部分的公司资产已具有量化的价值 利用财务的手法算出风险造成的财务损失利用财务的手法算出风险造成的财务损失 再根据损失的大小决定风险等级再根据损失的大小决定风险等级 定量的风险分析定量的风险分析 3.2 定量的风险分析定量的风险分析 SLASLA（single-time loss Al

22、gorithm)single-time loss Algorithm) 当一个风险发生时会对资产价值造成多大的财务损失当一个风险发生时会对资产价值造成多大的财务损失 ALE ALE （Annualized loss Exposure)Annualized loss Exposure) 年度风险损失年度风险损失 后果定量分析后果定量分析 3.2 定量的风险分析定量的风险分析 年度化损失运算表（频率）年度化损失运算表（频率） 3.2 定量的风险分析定量的风险分析 3.2 定量的风险分析定量的风险分析 年度化损失运算表（频率）续年度化损失运算表（频率）续 简易的定量计算公式：简易的定量计算公式： 资

23、产价值（资产价值（v)v)乘以可能性（乘以可能性（L L）可以得出）可以得出 ALE ALE （年度风险损失），即：（年度风险损失），即： ALE = V L 3.2 定量的风险分析定量的风险分析 定性的风险分析定性的风险分析 从风险发生可能性及造成的后果来考虑风险的从风险发生可能性及造成的后果来考虑风险的 等级等级 对于后果和可能性采用定性度量对于后果和可能性采用定性度量 并在最后阶段归纳出不同等级风险的方法并在最后阶段归纳出不同等级风险的方法 3.3 定性的风险分析定性的风险分析 后果或影响的定性量度（示例）后果或影响的定性量度（示例） 3.3 定性的风险分析定性的风险分析 可能性的定性量

24、度（示例）可能性的定性量度（示例） 3.3 定性的风险分析定性的风险分析 风险分析矩阵风险分析矩阵风险程度风险程度 E E：极度风险：极度风险 H H：高风险：高风险 M M：中等风险：中等风险 L: L: 低风险低风险 3.3 定性的风险分析定性的风险分析 E E：极度风险：极度风险-要求立即采取措施要求立即采取措施 H H：高风险：高风险-需要高级管理部门的注意需要高级管理部门的注意 M M：中等风险：中等风险-必须规定管理责任必须规定管理责任 L: L: 低风险低风险-用日常程序处理用日常程序处理 风险的处理措施（示例）风险的处理措施（示例） 3.3 定性的风险分析定性的风险分析 1.

25、1. 对练习一中所识别的风险进行定性分析。对练习一中所识别的风险进行定性分析。 2. 2. 要求：要求： 1 1）列出后果和可能性的定性描述级别）列出后果和可能性的定性描述级别 2 2）依据风险分析矩阵评估风险的级别）依据风险分析矩阵评估风险的级别 3 3）给出各级别风险的处理措施）给出各级别风险的处理措施 练习二练习二 定性的风险评估定性的风险评估 风险的函数表达： R = f（ a, v, t ） R：风险 a：资产的价值 v：资产本身的脆弱性 t：资产所面临的威胁 3.4 基于要素的风险分析基于要素的风险分析 1.1.资产的价值资产的价值 运用运用ISO17799ISO17799中对信息

26、安全的定义来衡量资产价值：中对信息安全的定义来衡量资产价值： ConfidentialityConfidentiality IntegrityIntegrity AvailabilityAvailability 3.4 基于要素的风险分析基于要素的风险分析 1.1.资产的价值资产的价值 3.4 基于要素的风险分析基于要素的风险分析 1.1.资产的价值资产的价值 3.4 基于要素的风险分析基于要素的风险分析 1.1.资产的价值资产的价值 3.4 基于要素的风险分析基于要素的风险分析 3.4 基于要素的风险分析基于要素的风险分析 2.脆弱性分析脆弱性分析 3.4 基于要素的风险分析基于要素的风险分

27、析 3.威胁分析威胁分析 3.4 基于要素的风险分析基于要素的风险分析 风险计算： 项项 目目 威胁等级威胁等级低低中中高高 脆弱性等级脆弱性等级低低中中高高低低中中高高低低中中高高 资产价值资产价值 0012123233 1123234345 2234345456 3345456567 4456567678 3.4 基于要素的风险分析基于要素的风险分析 练习三练习三 基于要素的风险分析基于要素的风险分析 3.5 定性分析与定量分析的比较定性分析与定量分析的比较 3.5 定性分析与定量分析的比较定性分析与定量分析的比较 定性风险分析定性风险分析 3.5 定性分析与定量分析的比较定性分析与定量分

28、析的比较 4 OCTAVE风险评估实施过程风险评估实施过程 美国美国Carnegie Mellon大学软件工程研究所开发大学软件工程研究所开发 用于信息安全的评估用于信息安全的评估 采用定性的评估方法采用定性的评估方法 4 OCTAVE风险评估实施过程风险评估实施过程 OCTAVE的三个阶段的三个阶段 计划。 4 OCTAVE风险评估实施过程风险评估实施过程 OCTAVE的特点的特点 自主性自主性 分析组分析组 基于讨论会基于讨论会 标杆方法标杆方法 4 OCTAVE风险评估实施过程风险评估实施过程 实施过程实施过程 4 OCTAVE风险评估实施过程风险评估实施过程 过程过程1 1：识别高层管

29、理者的认识：识别高层管理者的认识-该过程的参与者是该组该过程的参与者是该组 织的高层管理者；织的高层管理者； 过程过程2 2：识别运营领域管理者的认识：识别运营领域管理者的认识-参与者是该组织的参与者是该组织的 运营管理者（中层管理者）；运营管理者（中层管理者）； 过程过程3 3：识别员工的认识：识别员工的认识-参与者是该组织的普通员工。参与者是该组织的普通员工。 ITIT人员通常要与普通员工分开讨论。人员通常要与普通员工分开讨论。 阶段一：建立基于资产的威胁概要文件阶段一：建立基于资产的威胁概要文件 4 OCTAVE风险评估实施过程风险评估实施过程 识别资产及其优先级。识别资产及其优先级。 识别需关注的