信息安全治理与风险管理

1、数据安全管理刘晓梅1/89数据安全管理主要内容数据安全治理与风险管理数据加密技术数据访问控制数据通信安全数据安全法律法规数据环境安全学习方法关于考试2/89数据与信息关系3/89第一章 数据安全治理与风险管理4/89本章主要内容Security terminology and principlesProtection control typesSecurity frameworks, models, standards, and best practicesSecurity enterprise architectureRisk managementSecurity documentation

2、Information classification and protectionSecurity awareness trainingSecurity governance5/89信息安全管理基础安全管控框架与体系风险管理组织信息安全实践信息安全意识、培训和教育内容目录6/89对信息安全管理初步认识信息安全实践活动应该基于组织愿景、使命和业务目标了解和支持，了解管理层对风险容忍度，综合考虑安全办法成本收益，确保实施恰当策略、程序、标准和指南，以在安全控制和业务操作之间形成一个平衡。组织经过实施管理性、技术性或操作性控制，保护其信息资产，以降低信息安全风险可能造成损失。在此过程中，安全教授、高

3、级管理层、安全审计人员、普通员工，都应该明白各自角色并负担各自责任。什么是管理？管理目标？管理伎俩？信息安全管理是管理领域与信息安全领域交叉7/89什么是信息？消息、信号、数据、情报和知识有意义内容 ISO9000信息本身是无形，借助于信息媒体以各种形式存在或传输：存放在计算机、磁带、纸张等介质中；记忆在人大脑里经过网络、打印机、传真机等方式进行传输信息借助媒体而存在，对当代企业来说含有价值，就成为信息资产（information assets）计算机和网络中数据硬件、软件、文档资料关键人员组织内部服务含有价值信息资产面临很多威胁，需要妥善保护8/89信息在其生命周期内处理方式创建(Creat

4、e)使用(Use)存放(storage)传递(delivery)更改(change)销毁(destroy)9/89信息安全基本目标ConfidentialityInterityAvailability10/89对CIA目标解释C 保密性（Confidentiality）- 确保信息在存放、使用、传输过程中不会泄漏给非授权用户或实体。I 完整性（Integrity）-确保信息在存放、使用、传输过程中不会被非授权篡改、预防授权用户或实体不恰当地修改信息，保持信息内部和外部一致性。A 可用性（Availability）-确保授权用户或实体对信息及资源正常使用不会被异常拒绝，允许其可靠而及时地访问信息

5、及资源。CIA三元组是信息安全目标，也是基本标准，与之相反是DAD三元组：DAD泄漏篡改破坏isclosurelterationestruction11/89对CIA目标解释信息安全目标通俗了解进不来拿不走改不了跑不了看不懂可审查12/89CIA相关技术C I AEncryption for data at rest(whole disk,database encryption)Encryption for data in transit(IPSec,SSL,PPTP,SSH)Access control(Physical and technical)Hashing(data integrit

6、y)Configuration management(system integrity) Change control (process integrity)Access control(physical and technical)Software digital signingTransmission CRC functionsRedundant array of inexpensive disks(RAID)ClusteringLoad balancingRedundant data and power linesSoftware and data backupsDisk shadowi

7、ngCo-location and off-site facilitiesRoll-back functionsFail-over configurations13/89信息安全实质 采取办法保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，确保信息系统能够连续、可靠、正常地运行，使安全事件对业务造成影响减到最小，确保组织业务运行连续性。14/89其它相关概念和标准私密性（Privacy） 个人和组织控制私用信息采集、存放和分发权利。身份识别（Identification） 用户向系统声称其真实身份方式。身份认证（Authentication） 测试并认证用户身份。授权（Autho

8、rization） 为用户分配并校验资源访问权限过程。可追溯性（Accountability）确认系统中个人行为和活动能力。抗抵赖性（Non-repudiation） 确保信息发送者即创建者能力。审计（Audit） 对系统统计和活动进行独立复查和审核，确保符合性。15/89什么是信息安全管理信息安全成败取决于两个原因：技术和管理。技术是信息安全构筑材料，管理是真正粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全主要性。信息安全管理（Information Security Management） 作为组织完整管理体系中一个主要步骤，其主要活动包含：识别信息资产及相关风险，采取恰

9、当策略和控制办法以消减风险，监督控制办法有效性，提升人员安全意识等。现实世界里大多数安全事件发生和安全隐患存在，与其说是技术上原因，不如说是管理不善造成，了解并重视管理对于信息安全关键作用，对于真正实现信息安全目标来说尤其主要。16/89信息安全管理模型 针对检验结果采取应对办法，改进安全情况 依据风险评定结果、法律法规要求、组织业务运作本身需要来确定控制目标与控制办法。 依据策略、程序、标准和法律法规，对安全办法实施情况进行符合性检验。 实施所选安全控制办法。提升人员安全意识。管理周期办法Action检验Check计划Plan实施Do17/89内容目录信息安全管理基础安全管控框架与体系风险管

10、理组织信息安全实践信息安全意识、培训和教育18/89企业安全框架对当代企业来说，参加全球市场竞争，势必面临很多关于企业治理法规，这就要求企业管理愈加关注整体治理水平，并愈加严格地检验内部控制结构，确保其存在并有效地运作。与各种法律法规要求相伴随，是很多能够指导企业实施治理最正确实践，比如ITIL，ISO27001、COSO、COBIT等。企业能够参考最正确实践，在IT方面做出恰当投资决议，以符合业务使命和法规要求。IT不再是只花钱后勤部门，而成为业务关键支持，必须得到董事会和管理层重视和支持。19/89常规企业管控参考框架当前，国际上常见有各种针对安全控制实施有效性审计框架标准。这些资源对于企

11、业设计和实施信息安全有很好参考价值。这些框架标准包含：ISO/IEC 27000信息安全管理Zachman,TOGAF企业架构框架SABSA安全架构框架COSO企业内控管理模型COBIT IT内部控制ITIL IT服务管理NIST 800-53 安全控制参考CMMI 软件开发管理PMBOK，Prince2项目管理ISO9000质量管理Six Sigma业务流程管理ISO38500 IT治理ISO22301业务连续性管理20/89关于COSO1985年，由美国多家机构共同赞助成立了全国舞弊性财务汇报委员会，即tread-way委员会，而COSO（Committee of Sponsoring O

12、rganizations of the Treadway Commission）是Tread-way委员会赞助机组成立私人性质组织，于1992年公布了内部控制-整体框架（也被称作COSO框架）。，美国SEC同意公布了第2号审计标准（“与财务报表审计相关针对财务汇报内部控制审计”），依据就是COSO内部控制框架。该标准关注对财务汇报内部审计工作，以及这项工作与财务报表审计关系问题。COSO定义了满足财务汇报和披露目标一类内控要素：控制环境（Control environment）、风险评定（Risk assessment）、控制活动（Control activities）、信息与沟通（Infor

13、mation&Communication）和监测（Monitoring）COSO内控模型已经被采纳成为很多组织应对SOX 404法案合规性框架。 21/89关于ITILInformation Technology Infrastructure Library V3起源于英国电脑局一套详细描述最正确IT服务管理丛书，信息服务管理实施上业界标准，可简单概括为服务战略、服务设计、服务交付与服务运行四大过程，14个IT详细流程。22/89关于COBITC ControlOb objectivei for informationT and related TechnologyCobiT是由ISACA（I

14、nformation Systems Audit and Control Association）在1996年公布、当前在国际上公认最先进、最权威安全与信息技术管理和控制标准。CobiT是一套专供企业经营者、使用者、IT教授、审计员与安控人员来强化和评定IT管理和控制规范。CobiT架构主要目标是为业界提供关于IT控制一个清楚政策和发展良好典范，这个架构共有34个IT程序，分成4个领域：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery and Support）和ME（Monitoring and E

15、valuation），全部程序中包含了302个控制目标，全都提供了最正确施行指导。已升级到5.0版本。23/89关于ISO27000系列标准最早是英国家标准准协会（British Standards Institute,BSI）制订信息安全标准。当前已经成为国际标准。由信息安全方面最正确通例组成一套全方面控制集。信息安全管理方面最受推崇国际标准。24/89ISO27000标准发展历史BS7799 ISO27002：1992年在英国首次作为行业标准公布，为信息安全管理提供了一个依据。BS7799标准最早是由英国家标准准化协会（BSI）组织相关教授共同开发制订。在1998年、1999年经过两次修订

16、之后出版BS7799-1：1999和BS7799-2：1999.4月，将BS7799-1：1999提交ISO，同年10月取得经过成为ISO/IEC17799;版。20对ISO/IEC17799:版进行了修订，于6月15日公布了ISO/IEC17799：2005版。20ISO/IEC27002修订BS7799-2：1999,同年BS7799-2：2000公布。年对BS7799-2：2000进行了修订公布了BS7799-2：版ISO于2010月15采取BS7799-2：版本成为国际标准-ISO/IEC27001:2005版。信息安全绩效测量指南。ISO27001:25/89ISO27002标准内容

17、框架安全策略Security policy组织信息安全Organizing information security资产管理Asset management人力资源安全Human resourcesSecurity物理与环境安全Physical and environmental security通信与操作管理Communicationsand operationsmanagement信息系统获取、开发和维护InformationSystems acquisition，development and maintenance访问控制Access control信息安全事件管理Informatio

18、n security incident management业务连续性管理Business continuty management符合性Compliance26/89文件化安全体系安全策略？ 安全策略是对访问规则正式陈说，任何获准访问某个机构技术和信息资产人员，都必须恪守这些规则。RFC2196,Site Security HandbookSecurity policy,是企业指导怎样对信息资产进行管理、保护和分配规则和指示。它定义了组织对正确使用信息并确保信息安全基本期望。安全策略是实施健全信息安全基础。安全工作需要长久战略方针，需要建立企业内部全方面、系统和文档化安全策略体系。信息安全策

19、略应该说明管理层承诺，提出企业管理信息安全方法，并由管理层同意，采取适当方式（指示文件和培训）传达给员工。27/89安全策略含有层次性方针处于策略链最高层次，它是由组织高级管理层公布，关于信息安全最普通性申明。方针应该代表着高级管理层对信息安全负担责任一个承诺，一旦公布，要求组织组员必须恪守。方针实施要依靠标准、指南和程序。标准标准要求了在组织范围内强制执行对特定技术和方法使用。标准起着驱动方针作用，标准能够用来建立方针执行强制机制。指南类似于标准，也是关于加强系统安全方法，但它是提议性。指南比标准更灵活，考虑到了不一样信息系统特点。指南也可用来要求标准开发方式，或者确保对普通性安全标准恪守。

20、彩虹系列、CC、BS7799等，都能够看作是这类。基线基线建立是满足方针要求最低级别安全需要。在建立信息安全整体框架之前，基线是需要考虑最低标准。标准开发通常都是以基线为基础，基线能够看是抽象简单化标准。大多数基线都是很详细，或者与系统相关，或者是陈说某种配置。程序是执行特定任务详细步骤。位于策略链最低层次，是实现方针、标准和指南详细步骤。28/89安全策略层次模型战略层次 战术层次目标要求详细步骤实现方法方针Policy程序Procedure基线Baseline标准Standard指南Guideline29/89安全策略不一样层次不一样作用方针作为最高级别管理层陈说，它说明了需要保护对象和目

21、标，标准和指南要求了用来保护特定对象技术和方法，程序则是对执行保护任务时详细步骤细节描述（How）。比如，某个企业在其安全方针中申明：全部机密信息必须得到加密保护。这种申明是很宽泛含糊，这时候，一个强制性标准深入指出：全部保留在数据库中客户信息必须采取DES算法进行加密，数据传输必须使用IPSec这一VPN技术。详细执行安全策略时，对应程序会详细解释怎样实施DES及IPSec技术。对于一些意外情况，比如数据传输过程中遭受窃取或破坏，对应处理方法就能够经过指南来描述。30/89不一样内容侧重策略类型组织性策略：Organizational or program policy,这类策略由高级管理层

22、公布，该策略描述并委派信息安全责任，定义实现CIA目标，强调需要尤其关注信息安全问题（比如保护信用卡企业或健康保险企业机密信息，或者高可用性系统）。通常情况下，这类策略范围是整个组织。功效型策略：即特定问题策略（issue-specific policy），针对特定安全领域或关注点，比如访问控制、连续性计划、职责分离等，或者针对特定技术领域，比如使用互联网、电子邮件、无线访问、远程访问等。这类策略依赖于业务需要和可接收风险水平。内容包含：对特定问题阐述，组织针对该问题态度，适用范围，符合性要求，惩戒办法等。特定系统策略：System-specific policy,针对特定技术或操作领域制订更

23、细节化策略，比如特定应用或平台。31/89策略文件组成要素元素说明目标（Objective）本策略文件为实现什么目标而制订范围（Scope）策略内容包括主题、组织区域、技术系统、业务单元等使用期（Validity）策略文件适用期限全部者（Ownership）要求策略文件全部者，由其负责策略文件维护和完整性，策略文件应该由其正式签署生效责任（Responsibilities）在策略文件覆盖范围内，相关事务应该由谁来负责内容（Statement）这是策略文件中最主要部分，要求详细策略申明复审（Review）要求对策略文件复审事宜，包含是否进行复审、详细复审时间、复审方式等违规处理（Complian

24、ce）对于不恪守策略条款内容处理方法参考文件（Supporting Documentation）引用参考文件，比如其它策略文件、表格、统计等32/89应该制订哪些策略？安全策略不应该是一篇包含全部内容大文件，为了使用和维护上方便，策略应该由多个小文件组成，形成一个策略框架。有些策略适合用于整个组织，有些策略只针对详细一些环境或部门。一些关键策略：Acceptable Use Policy, AUP:定义用户对计算资源恰当使用远程访问策略：定义远程连接内部网络可接收方法信息保护策略：关于处理、存放和传输敏感信息要求边界安全策略：描述了怎样维护边界安全病毒保护和预防策略：关于防病毒方面要求口令策略

25、：关于用户级和系统级口令管理和维护要求其它策略：电子邮件，无线安全，物理安全，访问控制，Web访问等33/89安全策略注意事项好安全策略应该语言简练，易于了解，使用明确指令性语句。策略必须是可实施和可执行，有一个底线要考虑，那就是安全保护和生产效率平衡。最高层方针应该含有一定稳定性（最少2-3年），防止出现技术实施细节，应该和支持性文件建立联络。策略一旦被同意，应该确保全部相关人员都去执行，一定惩戒机制是必要。应该经过各种路径和方式，力争策略为全部相关人员获知并了解。策略应该复审和更新，以反应组织发生改变。安全策略必须得到高级管理支持，不然极难发挥效力。34/89怎样了解信息安全治理？ITGI

26、（IT Governance Institute）对IT治理定义是：一个由关系和过程组成机制，用于指导和控制企业，经过平衡信息技术及其过程风险、增加价值来确保实现企业目标。经过这种机制和架构，IT决议、实施、服务、监督等流程，IT各类资源和信息与企业战略和目标紧密关联。同时，把在IT各个方面最正确实践从企业战略角度加以有机融合，从而使企业能够最大化IT在企业中价值，并能够抓住IT赋予际遇和竞争优势。信息安全治理作为IT治理一个部分，包含这些内容：董事会和高级管理者重视信息安全，为其发展指导方向，促动安全战略和策略。为各种安全活动提供资源支持，委派管理责任，决议事务优先次序，支持必要变革，确定和

27、风险管理相关企业价值取向，取得来自内部或外部审计师证实，确保安全投资在有效基础之上能够度量和汇报。ITGI提议，企业管理层应该依据其业务需要来建立安全策略，确保角色和责任清楚定义且可了解，识别各种威胁和弱点，实施必要基础设施和控制架构（标准、度量、实践和程序等），监督违规事件，定时检验和测试，实施意识教育，并在整个系统开发生命周期中建立安全管控。35/89内容目录信息安全管理基础安全管控框架与体系风险管理组织信息安全实践信息安全意识、培训和教育36/89 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响潜在可能性。 风险管理（Risk Management）就是识别风

28、险、评定风险、采取办法将风险降低到可接收水平，并维持这个风险水平过程。风险管理是信息安全管理关键内容。风险风险管理37/89风险管理相关要素定义资产（Asset）对组织含有价值信息资产，包含计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，全部这些资产都需要妥善保护。威胁（Threat）可能对资产或组织造成损害某种安全事件发生潜在原因，需要识别出威胁源（Threat source）或威胁代理（threat agent）。弱点（Vulnerability）也被称作漏洞或脆弱性，即资产或资产组中存在可被威胁利用缺点，弱点一旦被利于，就可能对资产造成损害。风险（Risk）特定威胁利用资

29、产弱点给资产或资产组带来损害潜在可能性。可能性（Likelihood）对威胁发生几率（Probability）或频率（Frequency）定性描述。影响（Impact）后果（Consequence），意外事件发生给组织带来直接或间接损失或伤害。安全办法（Safeguard）控制（control）或对策（countermeasure）， 即经过防范威胁、降低弱点、限制意外事件带来影响等路径来消减风险机制、方法和办法。残留风险（Residual Risk）在实施安全办法之后依然存在风险。38/89资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评定通俗类

30、比39/89风险要素之间关系40/89风险管理目标风险RISK风险原有风险采取办法后剩下风险资产威胁脆弱性资产威胁脆弱性41/89安全没有绝对可言绝正确零风险是不存在，要想实现零风险，也是不现实；计算机系统安全性越高，其可用性越低，需要付出成本也就越大，普通来说，需要在安全性和可用性，以及安全性和成本投入之间做一个平衡。组织管理层应该对此做出决议。 在计算机安全领域有一句格言：“真正安全计算机是拔下网线，断掉电源，放置在地下掩体保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 显然，这么计算机是无法使用。42/89关键是达成成本利益平衡安全控制成本所提供安全水平 高高低安全成本/损失 支

31、出平衡点安全事件造成损失要研究建设信息安全综合成本与信息安全风险之间平衡，而不是要片面追求不切实际安全不一样信息系统，对于安全要求不一样，不是“ 越安全越好”43/89风险管理普通过程否是否是风险评定准备已有安全措施确认风险计算风险是否接收选择适当控制办法并评定残余风险实施风险管理脆弱性识别威胁识别资产识别是否接收残余风险 风险识别评定过程文档评定过程文档风险评定结果统计评定结果文档44/89风险管理过程逻辑公式Risk= Threat * Vulnerable * AssetValueResidual Risk=(Threat * Vulnerable * AssetValue)* Cont

32、rolGap45/89什么是风险评定？风险评定（Risk Assesssment）是对信息资产及其价值、面临威胁、存在弱点，以及三者综合作用而带来风险大小或水平评定。作为风险管理基础，风险评定是组织确定信息安全需求一个主要路径，属于组织信息安全管理体系策划过程。主要任务包含：识别组成风险各种原因评定风险发生可能性和造成影响，并最终评价风险水平或大小确定组织承受风险能力确定风险消减和控制策略、目标和优先次序推荐风险消减对策以供实施包含风险分析（Risk Analysis）和风险评价（Risk Evaluation）两部分，但普通来说，风险评定和风险分析同义。46/89经典RA方法NIST SP8

33、00-30和800-66：定性RA方法，其中SP800-66是专为HIPAA客户而设计。基本过程以下：系统分类；弱点识别；威胁识别；对策识别；可能性评定；影响评定；风险评定；新对策推荐；文件汇报OCTAVEOperationally Critical Threat,Asset and Vulnerability Evaluation由Carnegie Mellon大学CERT协调中心（CERT/CC）开发是一个基于信息资产风险自主式信息安全风险评定规范，强调以资产为驱动，资产（asset）形成了组织业务目标和安全相关信息之间桥梁，而且以保护关键信息资产为目标。由3个阶段、8个过程组成。CRAM

34、MCCTA Risk Analysis and Management Method基本过程：资产识别和评价；威胁和弱点评定；对策选择和提议STASpanning Tree Analysis 创建一个系统可能面临全部威胁树，树枝能够代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用树枝。FMEAFailure Modes and Effect Analysis源自硬件分析，也可用在软件和系统分析上。考查每个部件或模块潜在失效，而且考查失效影响Immediate level（部件或模块）；Intermediate level（流程或包）；System wide47/89风险评定可

35、用工具和实践方法采集数据辅助工具：调查问卷（Questionnaire）检验列表（Checklist）人员访谈（Interview）漏洞扫描器（Scanner）渗透测试（Penetration Test）专用风险评定工具：COBRACRAMMASSETCORASCORA 48/89定量评定和定性评定定性风险评定：凭借分析者经验和直觉，或者业界标准和通例，为风险管理诸要素大小或高低程度定性分级。定量风险评定：试图从数字上对安全风险及其组成原因进行分析评定一个方法。 定性风险分析优点计算方式简单，易于了解和执行无须准确算出资产价值和威胁频率无须准确计算推荐安全方法成本流程和汇报形式比较有弹性缺点本

36、质上是非常主观，其结果高度依赖于评定者经验和能力，较难客观地跟踪风险管理效果对关键资产财务价值评定参考性较低并不能为安全方法成本效益分析提供客观依据定量风险分析优点评定结果是建立在独立客观程序或量化指标之上能够为成本效益审核提供准确依据，有利于预算决议量化资产价值和预期损失易了解可利用自动化工具帮助分析缺点输入数据可靠性和准确性难以确保没有一个标准化知识库，依赖于提供工具或实施调查厂商信息计算量大，方法复杂，费时费劲49/89定量风险评定概述对组成风险各个要素和潜在损失水平赋予数值或货币金额。当度量风险全部要素（资产价值、威胁频率、弱点利用程度、安全办法效率和成本等）都被赋值，风险评定整个过程

37、和结果就都能够被量化。定量分析有两个关键指标：事件发生频率（用ARO来表示）和威胁事件可能引发损失（用EF来表示）。理论上讲，经过定量分析能够对安全风险进行准确分级，但这有个前提，那就是可供参考数据指标是准确。定量分析所依据数据可靠性是极难确保，再加上数据统计缺乏长久性，计算过程又极易犯错，这就给分析细化带来了很大困难。实际风险分析时，采取定量分析或者纯定量分析方法比较少。50/89定量分析基本概念暴露因子（Exposure Factor,EF）特定威胁对特定资产造成损失百分比，或者说损失程度。单一损失期望（Single Loss Expectancy,SLE）或者称作SOC（Single O

38、ccurance Costs）,即特定威胁单次发生可能造成潜在损失量。年度发生率（Annualized Rate of Occurrence,ARO）即威胁在一年内预计会发生次数。年度损失期望（Annualized Loss Expectancy,ALE）或者称作EAC（Estimated Annual Cost）表示特定资产在一年内遭受损失预期值。51/89定量分析基本过程识别资产并为资产赋值；评定威胁和弱点，评价特定威胁作用于特定资产所造成影响，即EF（取值在0%-100%之间）；计算特定威胁发生次数（频率），即ARO；计算资产SLE；计算资产ALE。 SLEAsset Value * E

39、F ALE= SLE * ARO52/89定量分析举例 假定某企业投资500,000美元建了一个网络运行中心，其最大威胁是火灾，一旦火灾发生，网络运行中心预计损失程度是45%。依据消防部门推断，该网络运行中心所在地域每5年会发生一次火灾，于是我们得出了ARO为0.20结果。基于以上数据，该企业网络运行中心ALE将是45,000美元。AssetThreatAsset ValueEFSLEAROALE网络运行中心火灾$500,00000.45225,00000.20$45,000Web服务器电源故障$25,0000.256,2500.50$3,125Web数据病毒$150,00000.3350,0

40、002.00$100,000客户数据泄漏$250,0000.75187,5000.66$123,75053/89定性风险评定概述定性分析方法当前采取最为广泛，它带有很强主观性，往往需要凭借分析者经验和直觉，或者业界标准和通例，为风险管理诸要素大小或高低程度定性分级，比如“高”、“中”、“低”三级。定性分析操作方法能够各种多样，包含小组讨论（比如Delphi方法）、检验列表（Checklist）、问卷(Questionnaire)、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对轻易，但也可能因为操作者经验和直觉偏差而使分析结果失准。与定量分析相比较，定性分析准确性稍

41、好但准确性不够，定量分析则相反；定性分析没有定量分析那样繁多计算负担，但却要求分析者具备一定经验和能力。 54/89识别信息资产对资产进行保护是信息安全直接目标。划入风险评定范围和边界每项资产都应该被识别和评价。应该清楚识别每项资产拥有者、保管者和使用者。组织应该建立资产清单，依据业务流程来识别信息资产。信息资产存在形式有各种，物理、逻辑、无形。电子数据：数据库和数据文件，系统文件，用户手册，培训资料，计划等书面文件：协议，策略方针，归档文件，主要商业结果软件资产：应用软件，系统软件，开发工具，工具程序实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，基础设施人员：负担特定职能和责任

42、人员或角色服务：计算和通信服务，外包服务，其它技术性服务组织形象与声誉：无形资产55/89评价信息资产资产评价时应该考虑：信息资产因为受损而对业务造成直接损失信息资产恢复到正常状态所付出代价，包含检测、控制、修复时人力和物力组织公众形象和声誉上损失，因业务受损造成竞争优势降级而引发间接损失其它损失，比如保险费用增加定性分析时，我们关心是资产对组织主要性或其敏感程度，即因为资产受损而引发潜在业务影响或后果。能够依据资产主要性（影响或后果）来为资产划分等级，比如：灾难性、较大、中等、较小、可忽略应该同时考虑保密性、完整性和可用性三方面受损失可能引发后果。56/89信息分类分级管理For comme

43、rcialBusiness: ConfidentialPrivateSensitivePublic For military purposes:Top secretSecretConfidentialSensitive but unclassifiedUnclassified 57/89识别并评定威胁识别每项（类）资产可能面临威胁。一项资产可能面临多个威胁，一个威胁也可能对不一样资产造成影响。识别威胁关键在于确认引发威胁人或物，即威胁源（威胁代理，Threat Agent）。威胁通常包含（起源）：人员威胁：有意破坏和无意失误系统威胁：系统、网络或服务出现故障环境威胁：电源故障、污染、液体泄漏、

44、火灾等自然威胁：洪水、地震、台风、雷电等评定威胁可能性时要考虑到威胁源动机和能力原因（内因）。威胁发生可能性能够用“高”、“中”、“低”三级来衡量。58/89识别并评定弱点针对每一项需要保护资产，找到可被威胁利用弱点，包含：技术性弱点：系统、程序、设备中存在漏洞或缺点操作性弱点：配置、操作和使用中缺点，包含人不良习惯、操作过程漏洞管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面不足弱点识别路径：审计汇报、事件汇报、安全检验汇报、系统测试和评定汇报专业机构公布漏洞信息自动化漏洞扫描工具和渗透测试评定弱点时需要考虑其暴露程度或被利用轻易度。比如能够用“高”、“中”、“低”三级来衡量。59

45、/89资产、威胁及弱点关系弱点威胁影响资产没有逻辑访问控制蓄意破坏软件软件、信誉窃取软件数据完整性，信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存放介质、数据可用性、软件、信誉窃取软件数据完整性，信誉资产威胁A威胁B起源A1起源A2起源B1起源B2弱点A1弱点A2弱点B1起源B260/89风险评价之前需要确定两个指标风险影响（risk impact）能够经过资产价值评定来确定分级方式依据需要来定，比如：（1,2,3,4,5），即：（可忽略，较小，中等，较大，灾难性）风险可能性（probability）能够经过威胁可能性、弱点暴露评价来综合得出需要考虑到现有控制办法效力（控制办法

46、会影响对威胁及弱点判断）分级方式依据需要来定（取决于威胁和弱点评价标准），比如：（1,2,3,4,5）,即：（几乎必定，很可能，有可能，不太可能，很罕见）61/89对现有控制办法考虑从针对性和实施方式来看，控制办法包含三类：管理性（Administrative）：对系统开发、维护和使用实施管理办法，包含安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性（Operational）：用来保护系统和应用操作流程和机制，包含人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。从功效来看，

47、控制办法类型包含：威慑性（Deterrent）预防性（Preventive）检测性（Detective）纠正性（Corrective）安全事件威胁弱点影响利用引发造成威慑性控制预防预防性控制保护检测性控制发觉纠正性控制降低62/89风险评定矩阵可能性影响可忽略1较小2中等3较大4灾难性55,几乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）等级取值范围名称描述H25,20H

48、igh，高风险最高等级风险，需要马上采取应对方法。不可接收。S12,15,16Significant，严重风险需要高级管理层注意，不可接收。M6,8,9,10Moderate，中等风险必须要求管理责任。通常需要综合考虑取舍。L1,2,3,4,5Low，低风险能够经过例行程序来处理。可接收。63/89定性风险评定举例风险场景：一个个人经济上存在问题企业职员有权独立访问高敏感信息，他可能窃取这些卖给企业竞争对手。确定风险因子：影响为3（中等）可能性为4（很可能）评定风险套用风险分析矩阵，该风险被定为S级（严重风险）应对风险：依据企业确定风险接收水平，应该对该风险采取办法给予消减。可能性影响可忽略1

49、较小2中等3较大4灾难性55,几乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）12（S）64/89确定风险处置策略降低风险（Reduce Risk）实施有效控制，将风险降低到可接收程度，实际上就是力图减小威胁发生可能性和带来影响，包含：降低威胁：比如，实施恶意软件控制程序，降低信息系统受恶意软件攻击机会降低弱点：比如，经过安全意识培训，强化职员安全意识与安全操作能力降低影

50、响：比如，制订灾难恢复计划和业务连续性计划，做好备份躲避风险（Avoid Risk）有时候，组织能够选择放弃一些可能引来风险业务或资产，以些躲避风险。比如，将主要计算机系统与互联网隔离，使其免遭来自外部网络攻击。转嫁风险（Transfer Risk）将风险全部或者部分地转移到其它责任方，比如购置商业保险。接收风险（Accept Risk）在实施了其它风险应对办法之后，对于残留风险，组织能够选择接收。65/89选择控制办法以降低风险选择安全办法时首先关注是其基本功效，其次还有效力。选择安全办法（countermeasures/safeguard）时需要进行成本效益分析：基本标准：实施安全办法代价

51、不应该大于所要保护资产价值对策成本：购置费用，对业务效率影响，额外人力物力，培训费用，维护费用等控制价值实施控制之前ALE-控制年成本实施控制之后ALE除了成本效益（），还应该考虑到以下约束条件：时间约束，技术约束，环境约束法律约束，社会约束确定所选安全办法效力，是看实施新办法之后还有什么残留风险66/89绝对安全（即零风险）是不可能。实施安全控制后会有残留风险或残余风险（Residual Risk）。为了实现信息安全，应该确保残留风险在可接收范围内：残留风险Rr=原有风险R0-控制效力R残留风险Rr可接收风险Rr对残留风险进行确认和评价过程其实就是风险接收过程。决议者能够依据风险评定结果来确

52、定一个阀值，以该阀值作为是否接收残留风险标准。评价残留风险（Residual Risk）风险资产威胁脆弱性67/89风险场景：一个个人经济上存在问题企业职员有权独立访问某类高敏感度信息，他可能窃取这些信息卖给企业竞争对手。实施控制之前：影响3（中等），可能性为4（很可能），风险为12（S级）。实施控制之后：影响为3不变，可能性降为1,残留风险为3（L级）。应对残留风险：残留风险在可接收范围内，说明办法应用是成功。残留风险计算举例可能性影响可忽略1较小2中等3较大4灾难性55,几乎必定5（L）10（M）15（S）20（H）25（H）4,很可能 4（L）8（M）12（S）16（S）20（H）3，有

53、可能 3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）3（L）68/89例：灶台上有一盘鱼，老鼠经过梯子能够爬到灶台上吃鱼，问以下那种降低风险方式最适当？A、养一只猫B、老鼠夹C、给盘子盖上罩子D、拿走梯子69/89内容目录信息安全管理基础安全管控框架与体系风险管理组织信息安全实践信息安全意识、培训和教育70/89要让安全有效，必须让全部些人都知道并了解本身角色、责任以及权力因为各个组织需要求不一样，要提出一个普遍处理方案是不可能组织必须以恰当方式为员工委派安全相关角色，这方面应该遵照职责分离标

54、准在维护信息安全过程中，每个人都有对应角色和责任，最主要角色应该是管理层，他们必须为整个信息安全规划定好基调信息安全必须人尽其事71/89高级管理者（Senior management）决议层或高级管理层全方面负责信息安全，是信息安全最终责任人规划信息安全，确定目标和优先次序，委派信息安全责任信息系统安全教授（Information security professionals）即信息安全官（Infosec Officer）或CSO，受高级管理层委派（通常向CIO负责），负责实施和维护安全设计、实施、管理和复查组织安全策略、标准、指南和程序协调组织内部各单位之间全部与安全相关交互安全委员会（s

55、ecurity committee）组员来自：高级管理层代表；IT管理者；业务部门和职能部门责任人；信息安全官等安全委员会责任：决议并同意安全相关事务、策略、标准、指南和程序安全管理员（Security Administrator）负责实施、监视并执行安全要求和策略各部门能够设置自己安全管理员，负责执行本部门安全管理事务向安全委员会/信息安全官汇报信息系统审计师（Information systems auditor）向安全目标管理提供独立保障检验系统，判断系统是否满足安全需求，以及安全控制是否有效主要角色和责任72/89数据属主（Data owners）确定数据分类等级，确定访问特权，维护信

56、息系统中数据正确性和完整性保管者（Custodian）负责保管系统/数据库，向适当人员转达方便响应灾难恢复/应急计划人员从整体上负责组织应急计划与应用全部者、信息安全人员等协同工作，取得其它应急计划支持CIRT（Computer Incident Response Team）评价安全事件和造成损害，提供修补系统正确响应，搜集证据用户（User）具备应有安全意识恪守安全策略，恰当使用信息和系统，通报安全事件其它相关角色和责任73/89信息安全必须从整体考虑，必须做到“有计划有目标、发觉问题、分析问题、采取办法处理问题、后续监督防止再现”这么全程管理思绪，这就要求建立是一套完整信息安全管理体系，这

57、么系统工程，只有处于组织最高管理者领导和支持之下，才可能成功最高管理层经过明确信息安全目标和方针为信息安全活动指导方向最高管理层能够为信息安全活动提供必要资源支持最高管理层能够在重大问题上做出决议最高管理层能够协调不一样单位不一样步骤关系，提升促动力说到底，最高管理层者是组织信息安全最终责任人组织高管全方面负责信息安全管理74/89Information Security Officer/Chief Security Officer 信息安全官应该确保全部业务信息资产得到妥善保护，预防其遭受有意或无意损坏、泄漏、篡改和破坏。通常没有直接可用资源来实施其职能，需要依靠组织中其它人员来实施并执行保

58、护信息策略、程序、标准和指南。饰演是组织内部信息安全协调和促动角色。信息安全官应该了解组织业务目标，引导风险管理过程，并向高管代表进行有效传达（防止技术细节，侧重业务需求和成本收益分析），确保在业务操作和可接收风险之间达成恰当平衡。详细职责包含：为信息安全活动做预算。确保策略、程序、基线、标准和指南开发。开发并提供安全意识程序。评价安全事件并做出响应。开发安全合规性程序。建立安全度量机制。参加管理会议。帮助内部和外部审计。CSO职责75/89向CEO报告降低消息过滤，改善沟通，显示组织对信息安全重视向IT部门报告直接向CIO或IT负责人报告，一方面信息安全需要IT支持，其次，IT方面也需要了解

59、业务需求和成本限制向行政部门报告向负责行政VP报告，物理安全、人身安全、HR向风险管理部门报告更关注企业面临风险和控制风险方法向内审部门报告内审部门和信息安全部门通常会有“利益冲突”，内审部门通常有财务、企业管理和一般性控制背景，但在技术方面会有欠缺，及时有效沟通和协助，可以防止产生误解向法务部门报告律师关心是法律法规合规性建立有效汇报机制76/89制订有效安全管理计划，能够确保信息安全策略得到恰当执行进行有效安全管理路径，应该是自上而下（Top-Down）：最高管理层负责开启并定义组织安全方针管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行业务经理或安全教授负责实施安全管理文件

60、中指定配置最终用户负责恪守组织全部安全策略安全管理计划小组应该开发三类计划：战略计划（strategic plan）是长久计划（比如5年），相对稳定，定义了组织目标和使命战术计划（tactical plan）是中期计划（比如1年），是对实现战略计划中既定目标任务和进度细节描述，比如雇用计划、预算计划、系统开发计划等操作计划（operational plan）是短期高度细化计划，须经常更新（每个月或每季度），比如培训计划、系统布署计划、产品设计计划等组织信息安全建设应按计划行事77/89人是信息安全关键原因，人员管理不善会给组织带来非常大安全威胁和风险。有调查显示，大多数重大信息安全事件通常都来