信息安全风险评估论方法介绍(风险评估内部培训材料)课件

1、信息安全风险评估论方法介绍 风险管理概念风险评估方法风险评估步骤和计划1 23什么是风险什么是风险直接感受水灾？火灾？偷盗？恐怖袭击？停电？骨干网停运？3是一种事件的可能性，它的发生会给我们造成不幸。什么是风险遭受伤害或损失的可能性，危险 （一般词义） 投资的实际回报不同于预期的机会。包括可能损失所有的或部分的投资。（金融词义）4什么是风险风险：不确定性对目标的影响。ISO31000：2009风险管理就是要在发掘业务机会的同时管控不确定性。5风险管理的几个重要概念风险评估：风险识别、风险分析以及风险评价的整个过程。风险处置：修正风险的过程。风险控制：修正风险的措施。残余风险：是指经过风险处理后

2、仍剩余的风险。6平衡7安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平风险管理目的发掘业务机会管控不确定性8风险管理回报率风险风险管理模型风险管理模型（ISO 31000）9构建环境风险识别风险分析风险评价风险处置沟通与协商监控与评审ISO27001:2013第4章ISO27001:2013第9章ISO27001:2013第7章ISO27001:2013第6.1.3节ISO27001:2013第6.1.2节风险管理概念风险评估方法风险评估步骤和计划1 23选择风险评估方法根据 ISO27001:2013 标准，风险评估采用何种方法不作要求，只要能识别出风险即可。在

3、IT管理领域，可采用的常见评估方法：影响度/可能性分析：针对特定的系统、服务或管理领域梳理风险场景，分析风险发生导致后果造成的影响程度，以及该风险发生的概率（可能性）；差距评估：如有相关标准或法规作为评估依据，或相关方给定了检查项清单（Checklist），可直接采用“对标”式的差距分析方法，识别相关合规性风险；头脑风暴：针对特定的管理或技术领域，组织相关人员进行头脑风暴，穷举该领域范围内存在的问题和潜在风险；失效模式和效应分析：针对特定的系统、服务，采取失效模式和效应分析（FMEA），梳理服务或服务组件发生故障的场景，分析这些故障的影响、潜在原因，识别可以降低或避免故障影响的方法；业务影响分

4、析：在连续性管理流程中，采取业务影响分析（BIA）方法，识别系统、服务的目标恢复要求（RTO、RPO）、最低运营要求（MOR），分析当前存在的差距和解决方案。以下介绍的评估方法，按照“影响度/可能性”模型设计。11风险评估12资产及其价值威胁后果或影响现有控制措施风险评估可能性脆弱性(弱点)关系值1314通俗理解场景：我口袋里有100块钱，在火车站，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。资产 = 脆弱性 = 威胁 = 风险 = 后果 = 100元钱 打瞌睡 小偷 钱被小偷偷走 钱被偷，没饭吃 保密性可用性完整性People人Process、Services流程、服务Media、Equipm

5、ent介质、设备Software数据库、应用软件、操作系统Information信息识别信息及其载体15保密性：信息只对授权的个人、主体或流程可用的特性完整性：保护信息的精确与完整的特性可用性：在需要时，被授权的主体可访问和可使用的特性信息价值：识别信息及其载体举例：硬件：硬件设备及电子介质（服务器、存储、磁带及其他移动介质等）故障，导致其创建、存储、传输、处理的信息丢失或不可访问软件：纸质文件由于不耐火、不耐水、不耐虫蛀鼠咬等原因而损毁纸质记录：纸质文件由于不耐火、不耐水、不耐虫蛀鼠咬等原因而损毁流程：流程步骤不合规、不落地，职责不明确，或者缺乏必要的资源支持，导致流程输出信息不可用服务：与

6、供方的合同或服务级别协议不清晰，权责划分不清，供方服务不稳定或中止，发生知识产权归属纠纷，影响我方IT服务及相关信息的可用性人员：人员法律意识、安全意识不足，无意中或受到外部社会工程学攻击（引诱、胁迫、欺骗等）引发敏感信息泄漏16基于“信息载体”的风险场景识别：确定识别风险场景的维度：信息载体类型、风险来源风险场景是否符合实际环境风险场景主要影响信息的C、I、A哪项属性信息安全风险评估方法原理17信息载体风险信息信息价值安全需求安全措施残余风险具有依赖依赖导出引发未控制降低面临可能性影响度降低安全事件决定决定引发影响信息安全风险评估实施流程风险评估准备信息识别信息载体识别风险场景识别已有安全措

7、施的确认风险计算保持已有安全措施制定风险处理计划并评估残余风险实施风险管理风险是否接受是否接受残余风险第一步第二步第三步信息安全风险评估准备工作19准备内容：确定评估目标、范围；确定评估依据和方法：适用的管理体系和法律法规、监管要求；选择适用的风险评估方法；确认风险评价和风险接受准则；组建风险评估团队；听取最高管理者对本次风险评估的指示。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。风险分析理解风险性质、确定风险级别：识别风险的后果严重性（影响度）估算风险发生的概率（可能性）确定风险的级别：计算风险可能性和影响度时需要考虑当前已

8、有的控制措施以及控制的有效性可能性赋值时需要考虑防范风险发生的控制措施以及控制影响度赋值时需要考虑风险发生后的补救措施20风险值 = 信息价值 影响度 可能性识别信息及其载体21保密性赋值（C）描述赋值等级5高仅限少数人知悉，关乎企业的重大利益或竞争力，如果泄露会造成非常严重的损害。3中影响企业利益，如果泄露可能会造成一定程度的损害。1低可以对外公开。完整性赋值（I）描述赋值等级5高未经授权的修改或破坏，将难以恢复，会对企业的形象、利益造成难以弥补的重大影响。3中未经授权的修改或破坏，会对企业利益造成一定程度的冲击，但可以弥补。1低未经授权的修改或破坏，造成的影响可以忽略不计。可用性赋值（A）

9、描述赋值等级5高不可用或不可访问时，对业务有严重影响，必须优先恢复，可用性要求极高。3中不可用或不可访问时，对业务有一定影响，应尽快恢复，可用性要求较高。1低不可用或不可访问时，对业务的影响较小，恢复时间要求不高，可用性要求相对较低。可能性、影响度赋值22可能性赋值描述赋值等级5高基于现有的安全控制措施，该风险极有可能会发生；或曾经发生多次（平均每年1次或1次以上）；或曾经偶尔发生（平均每年少于1次），但发生频率呈上升趋势。3中基于现有的安全控制措施，该风险较有可能会发生；或曾经偶尔发生（平均每年少于1次）；或虽然尚未发生过，但无法保证其不会发生。1低基于现有的安全控制措施，该风险发生的可能性

10、较小；或过去极少发生（如：历史上仅1次），且以后也几乎不会发生。影响度赋值描述赋值等级5高风险发生后，现有安全控制措施无法有效应对，造成的损害是严重且难以弥补的，或者需要很长时间才能恢复，面临着上级/监管压力、客户压力和舆论压力。3中风险发生后，现有安全控制措施可以适当发挥作用，造成一定的损害但可以弥补，或者可以在较短时间内恢复。1低风险发生后，现有安全控制措施基本可以应对，造成的损害可忽略不计，或者可以迅速恢复。风险评价对识别出的风险的严重程度，按照风险评价准则进行比较，以确定是否可接受，是否需要处置。风险接受准则：最终确认是否处置，应由最高管理层及各风险责任人（Risk Owner）进行确

11、认。23不可接受的风险（高）不可接受的风险（中）可接受的风险（低）默认需要处置是否处置待定默认不需处置风险清单风险处置方法风险规避 risk avoidance决定不陷入风险，或从风险处境中撤离的行为 风险降低 risk reduction采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果风险转移 risk transfer与其它组织分担风险的损失或收益 风险自留（接受） risk retention接受特定风险带来的损失或收益 24风险处置25某企业产品出现了质量问题，声称是因原料供应商所供原料不合格。医院在给病人施行手术之前，要求病人家属签字同意。 看到近

12、期股票大跌，于是将本要投资股市的钱存入银行。 发现QQ有风险，直接禁止使用。 为避免泄密可能带来的损失，单位要求相关人员签订保密协议。风险转移风险规避风险降低评估出的风险在1,2级的非重要风险，暂时不采取处置措施。或者说严重的风险，但是处理起来成本比较高。风险接受选择风险处置方法时应考虑的因素经济合理性（处置风险控制措施越多越严格，成本越高）法律法规、监管要求合规性与企业文化的一致性利益相关方的观点社会责任，如：环境因素对组织内的其他方或利益相关方的影响执行中的工作习惯、观点和认知26风险级别处置成本制定风险处置计划时应考虑的因素为实施所需的信息安全过程、策略、程序、控制措施，应采取什么行动？

13、风险处置的优先次序执行风险处置需要哪些资源（人力、预算、技术、服务、流程）谁是风险的责任人（Risk Owner），有谁作为风险处置责任人？（通常是组织的高级管理层人员，例如：CEO、CIO、CFO，或者是经他们授权的管理层人员）风险处置何时开始，何时结束？风险处置结果如何测量、评价，以确认达到预期结果？27残余风险评估考虑和评估实施控制措施之后仍然存在的残余风险：基于采取的风险处置措施，是否能够满足已识别的安全要求：是否有效？是否造成了新的问题？新的问题是否可能引发新的风险？分析是否需要更多的控制措施才能达到风险控制的目的，以及风险接受准则。与利益相关方就已完成的工作、已做了什么、以及对他们工作职能的影响进行沟通。28风险风险级别处置之前的风险级别处置之后的风险级别残余风险风险管理概念风险评估方法风险评估步骤和计划1 23风险评估步骤示例30XX部基于纳入风险评估范围的系统，提供资产清单。由风险评估负责人、服务负责人、产品负责人进行补充。1各服务负责人梳理资产上所承载的本服务的