第一章信息安全治理与风险管理

《数据安全管理》刘晓梅《数据安全管理》主要内容数据安全治理与风险管理数据加密技术数据访问控制数据通信安全数据安全法律法规数据环境安全学习方法关于考试数据与信息的关系

第一章数据安全治理与风险管理本章主要内容SecurityterminologyandprinciplesProtectioncontroltypesSecurityframeworks,models,standards,andbestpracticesSecurityenterprisearchitectureRiskmanagementSecuritydocumentationInformationclassificationandprotectionSecurityawarenesstrainingSecuritygovernance信息安全管理基础安全管控框架与体系风险管理组织的信息安全实践信息安全意识、培训和教育内容目录对信息安全管理的初步认识信息安全实践活动应该基于组织的愿景、使命和业务目标的理解和支持，理解管理层对风险的容忍度，综合考虑安全措施的成本收益，确保实施恰当的策略、程序、标准和指南，以在安全控制和业务操作之间形成一种平衡。组织通过实施管理性、技术性或操作性控制，保护其信息资产，以减少信息安全风险可能造成的损失。在此过程中，安全专家、高级管理层、安全审计人员、普通员工，都应该明白各自的角色并承担各自的责任。什么是管理？管理的目标？管理的手段？信息安全管理是管理领域与信息安全领域的交叉什么是信息？消息、信号、数据、情报和知识有意义的内容ISO9000信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中；记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产（informationassets）计算机和网络中的数据硬件、软件、文档资料关键人员组织内部的服务具有价值的信息资产面临诸多威胁，需要妥善保护信息在其生命周期内的处理方式创建(Create)使用(Use)存储(storage)传递(delivery)更改(change)销毁(destroy)信息安全的基本目标ConfidentialityInterityAvailability对CIA目标的解释C

保密性（Confidentiality）-确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。I完整性（Integrity）-确保信息在存储、使用、传输过程中不会被非授权篡改、防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。A可用性（Availability）-确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：DAD泄漏篡改破坏isclosurelterationestruction对CIA目标的解释信息安全目标通俗的理解进不来拿不走改不了跑不了看不懂可审查CIA相关技术C

IAEncryptionfordataatrest(wholedisk,databaseencryption)Encryptionfordataintransit(IPSec,SSL,PPTP,SSH)Accesscontrol(Physicalandtechnical)Hashing(dataintegrity)Configurationmanagement(systemintegrity)Changecontrol(processintegrity)Accesscontrol(physicalandtechnical)SoftwaredigitalsigningTransmissionCRCfunctionsRedundantarrayofinexpensivedisks(RAID)ClusteringLoadbalancingRedundantdataandpowerlinesSoftwareanddatabackupsDiskshadowingCo-locationandoff-sitefacilitiesRoll-backfunctionsFail-overconfigurations信息安全的实质采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。其他相关概念和原则私密性（Privacy）个人和组织控制私用信息采集、存储和分发的权利。身份识别（Identification）用户向系统声称其真实身份的方式。身份认证（Authentication）测试并认证用户的身份。授权（Authorization）为用户分配并校验资源访问权限的过程。可追溯性（Accountability）确认系统中个人行为和活动的能力。抗抵赖性（Non-repudiation）确保信息发送者即创建者的能力。审计（Audit）对系统记录和活动进行独立复查和审核，确保符合性。什么是信息安全管理信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，其主要活动包括：识别信息资产及相关风险，采取恰当的策略和控制措施以消减风险，监督控制措施有效性，提升人员安全意识等。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理模型针对检查结果采取应对措施，改进安全状况根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。根据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。实施所选的安全控制措施。提升人员安全意识。管理周期措施Action检查Check计划Plan实施Do内容目录信息安全管理基础安全管控框架与体系风险管理组织的信息安全实践信息安全意识、培训和教育企业安全框架对现代企业来说，参与全球市场的竞争，势必面临很多关于企业治理的法规，这就要求企业的管理更加关注整体治理水平，并更加严格地检查内部控制结构，确保其存在并有效地运作。与各种法律法规要求相伴随的，是诸多能够指导企业实施治理的最佳实践，例如ITIL，ISO27001、COSO、COBIT等。企业可以参照最佳实践，在IT方面做出恰当的投资决策，以符合业务使命和法规要求。IT不再是只花钱的后勤部门，而成为业务的核心支持，必须得到董事会和管理层的重视和支持。常规企业管控参考框架目前，国际上常见的有多种针对安全控制实施有效性审计的框架标准。这些资源对于企业设计和实施信息安全有很好的参考价值。这些框架标准包括：ISO/IEC27000信息安全管理Zachman,TOGAF企业架构框架SABSA安全架构框架COSO企业内控管理模型COBITIT内部控制ITILIT服务管理NIST800-53安全控制参考CMMI软件开发管理PMBOK，Prince2项目管理ISO9000质量管理SixSigma业务流程管理ISO38500IT治理ISO22301业务连续性管理关于COSO1985年，由美国多家机构共同赞助成立了全国舞弊性财务报告委员会，即tread-way委员会，而COSO（CommitteeofSponsoringOrganizationsoftheTreadwayCommission）是Tread-way委员会的赞助机构成立的私人性质组织，于1992年公布了《内部控制-整体框架》（也被称作COSO框架）。2004年，美国SEC批准发布了第2号审计标准（“与财务报表审计相关的针对财务报告的内部控制的审计”），依据就是COSO内部控制框架。该标准关注对财务报告的内部的审计工作，以及这项工作与财务报表审计的关系问题。COSO定义了满足财务报告和披露目标的一类内控要素：控制环境（Controlenvironment）、风险评估（Riskassessment）、控制活动（Controlactivities）、信息与沟通（Information&Communication）和监测（Monitoring）COSO内控模型已经被采纳成为很多组织应对SOX404法案合规性的框架。

关于ITILInformationTechnologyInfrastructureLibraryV3起源于英国电脑局一套详细描述最佳IT服务管理的丛书，信息服务管理实施上的业界标准，可简单概括为服务战略、服务设计、服务交付与服务运营四大过程，14个IT具体流程。关于COBITC

ControlOb

objectivei

forinformationTandrelated

TechnologyCobiT是由ISACA（InformationSystemsAuditandControlAssociation）在1996年公布的、目前在国际上公认的最先进、最权威的安全与信息技术管理和控制标准。CobiT是一套专供企业经营者、使用者、IT专家、审计员与安控人员来强化和评估IT管理和控制的规范。CobiT架构的主要目的是为业界提供关于IT控制的一个清楚的政策和发展的良好典范，这个架构共有34个IT程序，分成4个领域：PO（Planning&Organization）、AI（Acquisition&Implementation）、DS（DeliveryandSupport）和ME（MonitoringandEvaluation），所有的程序中包含了302个控制目标，全都提供了最佳的施行指导。2012年已升级到5.0版本。关于ISO27000系列标准最早是英国标准协会（BritishStandardsInstitute,BSI）制定的信息安全标准。目前已经成为国际标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准。ISO27000标准的发展历史BS7799ISO27002：1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英国标准化协会（BSI）组织的相关专家共同开发制定的。在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999.2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799;2000版。2005年对ISO/IEC17799:2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年ISO/IEC270022001年修订BS7799-2：1999,同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001:2005版。信息安全绩效测量指南。ISO27001:ISO27002标准内容框架安全策略Securitypolicy组织信息安全Organizinginformationsecurity资产管理Assetmanagement人力资源安全HumanresourcesSecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandoperationsmanagement信息系统获取、开发和维护InformationSystemsacquisition，developmentandmaintenance访问控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement业务连续性管理Businesscontinutymanagement符合性Compliance文件化的安全体系—安全策略？安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。——RFC2196,SiteSecurityHandbookSecuritypolicy,是企业指导如何对信息资产进行管理、保护和分配的规则和指示。它定义了组织对正确使用信息并保证信息安全的基本期望。安全策略是实施健全的信息安全的基础。安全工作需要长期的战略方针，需要建立企业内部全面、系统和文档化的安全策略体系。信息安全策略应当阐明管理层的承诺，提出企业管理信息安全的方法，并由管理层批准，采用适当的方式（指示文件和培训）传达给员工。安全策略具有层次性方针——处于策略链的最高层次，它是由组织的高级管理层发布的，关于信息安全最一般性的声明。方针应该代表着高级管理层对信息安全承担责任的一种承诺，一旦发布，要求组织成员必须遵守。方针的实施要依靠标准、指南和程序。标准——标准规定了在组织范围内强制执行的对特定技术和方法的使用。标准起着驱动方针的作用，标准可以用来建立方针执行的强制机制。指南——类似于标准，也是关于加强系统安全的方法，但它是建议性的。指南比标准更灵活，考虑到了不同信息系统的特点。指南也可用来规定标准的开发方式，或者保证对一般性安全原则的遵守。彩虹系列、CC、BS7799等，都可以看作是此类。基线——基线建立的是满足方针要求的最低级别的安全需要。在建立信息安全整体框架之前，基线是需要考虑的最低标准。标准的开发通常都是以基线为基础的，基线可以看是抽象的简单化的标准。大多数基线都是很具体的，或者与系统相关，或者是陈述某种配置。程序——是执行特定任务的详细步骤。位于策略链的最低层次，是实现方针、标准和指南的详细步骤。安全策略的层次模型战略层次战术层次目标要求具体步骤实现方法方针Policy程序Procedure基线Baseline标准Standard指南Guideline安全策略不同层次不同作用方针作为最高级别的管理层陈述，它说明了需要保护的对象和目标，标准和指南规定了用来保护特定对象的技术和方法，程序则是对执行保护任务时具体步骤的细节描述（How）。例如，某个公司在其安全方针中声明：所有的机密信息必须得到加密保护。这种声明是很宽泛的模糊的，这时候，一个强制性的标准进一步指出：所有保存在数据库中的客户信息必须采用DES算法进行加密，数据的传输必须使用IPSec这一VPN技术。具体执行安全策略时，相应的程序会详细解释怎样实施DES及IPSec技术。对于某些意外的情况，比如数据传输过程中遭受的窃取或破坏，相应的处理方法就可以通过指南来描述。不同内容侧重的策略类型组织性策略：Organizationalorprogrampolicy,此类策略由高级管理层发布，该策略描述并委派信息安全责任，定义实现CIA的目标，强调需要特别关注的信息安全问题（例如保护信用卡公司或健康保险公司的机密信息，或者高可用性系统）。通常情况下，此类策略的范围是整个组织。功能型策略：即特定问题策略（issue-specificpolicy），针对特定安全领域或关注点，例如访问控制、持续性计划、职责分离等，或者针对特定的技术领域，例如使用互联网、电子邮件、无线访问、远程访问等。此类策略依赖于业务需要和可接受的风险水平。内容包括：对特定问题的阐述，组织针对该问题的态度，适用范围，符合性要求，惩戒措施等。特定系统策略：System-specificpolicy,针对特定的技术或操作领域制定的更细节化的策略，比如特定应用或平台。策略文件的构成要素元素说明目标（Objective）本策略文件为实现什么目标而制定范围（Scope）策略内容涉及的主题、组织区域、技术系统、业务单元等有效期（Validity）策略文件适用期限所有者（Ownership）规定策略文件的所有者，由其负责策略文件的维护和完整性，策略文件应该由其正式签署生效责任（Responsibilities）在策略文件覆盖的范围内，相关事务应该由谁来负责内容（Statement）这是策略文件中最重要的部分，规定具体的策略声明复审（Review）规定对策略文件的复审事宜，包括是否进行复审、具体复审时间、复审方式等违规处理（Compliance）对于不遵守策略条款内容的处理办法参考文件（SupportingDocumentation）引用的参考文件，比如其他策略文件、表格、记录等应该制定哪些策略？安全策略不应该是一篇包含所有内容的大的文件，为了使用和维护上的方便，策略应该由多个小的文件组成，形成一个策略框架。有些策略适用于整个组织，有些策略只针对具体的某些环境或部门。一些关键的策略：AcceptableUsePolicy,AUP:定义用户对计算资源的恰当使用远程访问策略：定义远程连接内部网络的可接受的方法信息保护策略：关于处理、存储和传输敏感信息的规定边界安全策略：描述了怎样维护边界安全病毒保护和预防策略：关于防病毒方面的规定口令策略：关于用户级和系统级口令管理和维护的规定其他策略：电子邮件，无线安全，物理安全，访问控制，Web访问等安全策略注意事项好的安全策略应该语言简洁，易于理解，使用明确的指令性语句。策略必须是可实施和可执行的，有一个底线要考虑，那就是安全保护和生产效率的平衡。最高层的方针应该具有一定的稳定性（至少2-3年），避免出现技术实施细节，应该和支持性文件建立联系。策略一旦被批准，应该确保所有相关人员都去执行，一定的惩戒机制是必要的。应该通过多种途径和方式，力求策略为所有相关人员获知并理解。策略应该复审和更新，以反映组织发生的变化。安全策略必须得到高级管理的支持，否则很难发挥效力。如何理解信息安全治理？ITGI（ITGovernanceInstitute）对IT治理的定义是：一种由关系和过程组成的机制，用于指导和控制企业，通过平衡信息技术及其过程的风险、增加价值来确保实现企业的目标。通过这种机制和架构，IT的决策、实施、服务、监督等流程，IT的各类资源和信息与企业战略和目标紧密关联。同时，把在IT各个方面的最佳实践从公司战略的角度加以有机的融合，从而使企业能够最大化IT在企业中的价值，并能够抓住IT赋予的际遇和竞争优势。信息安全治理作为IT治理的一个部分，包括这些内容：董事会和高级管理者重视信息安全，为其发展指引方向，促动安全战略和策略。为各种安全活动提供资源支持，委派管理责任，决策事务优先顺序，支持必要的变革，确定和风险管理相关的企业价值取向，获得来自内部或外部审计师的证明，确保安全投资在有效的基础之上能够度量和报告。ITGI建议，企业的管理层应该根据其业务需要来建立安全策略，确保角色和责任清晰定义且可理解，识别各种威胁和弱点，实施必要的基础设施和控制架构（标准、度量、实践和程序等），监督违规事件，定期检查和测试，实施意识教育，并在整个系统开发生命周期中建立安全管控。内容目录信息安全管理基础安全管控框架与体系风险管理组织的信息安全实践信息安全意识、培训和教育在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。

风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。风险风险管理风险管理相关要素定义资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threatsource）或威胁代理（threatagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利于，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评估通俗类比风险要素之间的关系风险管理的目标风险RISK风险原有风险采取措施后的剩余风险资产威胁脆弱性资产威胁脆弱性安全没有绝对可言绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。组织的管理层应该对此做出决策。在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。关键是达成成本利益的平衡安全控制的成本所提供的安全水平

高高低安全成本/损失

支出平衡点安全事件造成的损失要研究建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全不同的信息系统，对于安全的要求不同，不是“越安全越好”风险管理的一般过程否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险

风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档…风险管理过程的逻辑公式Risk=Threat*Vulnerable*AssetValueResidualRisk=(Threat*Vulnerable*AssetValue)*ControlGap什么是风险评估？风险评估（RiskAssesssment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括：识别构成风险的各种因素评估风险发生的可能性和造成的影响，并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析（RiskAnalysis）和风险评价（RiskEvaluation）两部分，但一般来说，风险评估和风险分析同义。典型的RA方法NISTSP800-30和800-66：定性RA方法，其中SP800-66是专为HIPAA客户而设计。基本过程如下：系统分类；弱点识别；威胁识别；对策识别；可能性评估；影响评估；风险评估；新对策推荐；文件报告OCTAVEOperationallyCriticalThreat,AssetandVulnerabilityEvaluation由CarnegieMellon大学的CERT协调中心（CERT/CC）开发是一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，资产（asset）形成了组织的业务目标和安全相关信息之间的桥梁，并且以保护关键的信息资产为目标。由3个阶段、8个过程构成。CRAMMCCTARiskAnalysisandManagementMethod基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议STASpanningTreeAnalysis创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝。FMEAFailureModesandEffectAnalysis源自硬件分析，也可用在软件和系统分析上。考察每个部件或模块的潜在失效，并且考察失效影响Immediatelevel（部件或模块）；Intermediatelevel（流程或包）；Systemwide风险评估可用工具和实践方法采集数据的辅助工具：调查问卷（Questionnaire）检查列表（Checklist）人员访谈（Interview）漏洞扫描器（Scanner）渗透测试（PenetrationTest）专用的风险评估工具：COBRACRAMMASSETCORASCORA定量评估和定性评估定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定量风险评估：试图从数字上对安全风险及其构成因素进行分析评估的一种方法。

定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，较难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析优点评估结果是建立在独立客观的程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点输入数据的可靠性和精确性难以保证没有一种标准化的知识库，依赖于提供工具或实施调查的厂商信息计算量大，方法复杂，费时费力定量风险评估概述对构成风险的各个要素和潜在损失水平赋予数值或货币金额。当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化。定量分析有两个关键指标：事件发生的频率（用ARO来表示）和威胁事件可能引起的损失（用EF来表示）。理论上讲，通过定量分析可以对安全风险进行准确分级，但这有个前提，那就是可供参考的数据指标是准确的。定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难。实际风险分析时，采用定量分析或者纯定量分析方法比较少。定量分析基本概念暴露因子（ExposureFactor,EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（SingleLossExpectancy,SLE）——或者称作SOC（SingleOccuranceCosts）,即特定威胁单次发生可能造成的潜在损失量。年度发生率（AnnualizedRateofOccurrence,ARO）——即威胁在一年内估计会发生的次数。年度损失期望（AnnualizedLossExpectancy,ALE）——或者称作EAC（EstimatedAnnualCost）表示特定资产在一年内遭受损失的预期值。定量分析基本过程识别资产并为资产赋值；评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%-100%之间）；计算特定威胁发生的次数（频率），即ARO；计算资产的SLE；计算资产的ALE。

SLE＝AssetValue*EF

ALE=SLE*ARO定量分析举例

假定某公司投资500,000美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45%。根据消防部门推断，该网络运营中心所在的地区每5年会发生一次火灾，于是我们得出了ARO为0.20的结果。基于以上数据，该公司网络运营中心的ALE将是45,000美元。AssetThreatAssetValueEFSLEAROALE网络运营中心火灾$500,00000.45225,00000.20$45,000Web服务器电源故障$25,0000.256,2500.50$3,125Web数据病毒$150,00000.3350,0002.00$100,000客户数据泄漏$250,0000.75187,5000.66$123,750定性风险评估概述定性分析方法目前采用最为广泛，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷(Questionnaire)、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。

识别信息资产对资产进行保护是信息安全的直接目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。组织应该建立资产清单，根据业务流程来识别信息资产。信息资产的存在形式有多种，物理的、逻辑的、无形的。电子数据：数据库和数据文件，系统文件，用户手册，培训资料，计划等书面文件：合同，策略方针，归档文件，重要商业结果软件资产：应用软件，系统软件，开发工具，工具程序实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，基础设施人员：承担特定职能和责任的人员或角色服务：计算和通信服务，外包服务，其他技术性服务组织形象与声誉：无形资产评价信息资产资产评价时应该考虑：信息资产因为受损而对业务造成的直接损失信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力组织公众形象和名誉上的损失，因业务受损导致竞争优势降级而引发的间接损失其他损失，例如保险费用的增加定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。可以根据资产的重要性（影响或后果）来为资产划分等级，例如：灾难性、较大、中等、较小、可忽略应该同时考虑保密性、完整性和可用性三方面受损失可能引发的后果。信息分类分级管理ForcommercialBusiness:ConfidentialPrivateSensitivePublicFormilitarypurposes:TopsecretSecretConfidentialSensitivebutunclassifiedUnclassified识别并评估威胁识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，ThreatAgent）。威胁通常包括（来源）：人员威胁：故意破坏和无意失误系统威胁：系统、网络或服务出现故障环境威胁：电源故障、污染、液体泄漏、火灾等自然威胁：洪水、地震、台风、雷电等评估威胁可能性时要考虑到威胁源的动机和能力因素（内因）。威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。识别并评估弱点针对每一项需要保护的资产，找到可被威胁利用的弱点，包括：技术性弱点：系统、程序、设备中存在的漏洞或缺陷操作性弱点：配置、操作和使用中的缺陷，包括人的不良习惯、操作过程的漏洞管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足弱点的识别途径：审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试评估弱点时需要考虑其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三级来衡量。资产、威胁及弱点关系弱点威胁影响的资产没有逻辑访问控制蓄意破坏软件软件、信誉窃取软件数据完整性，信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性，信誉资产威胁A威胁B来源A1来源A2来源B1来源B2弱点A1弱点A2弱点B1来源B2风险评价之前需要确定两个指标风险影响（riskimpact）可以通过资产的价值评估来确定分级方式根据需要来定，例如：（1,2,3,4,5），即：（可忽略，较小，中等，较大，灾难性）风险可能性（probability）可以通过威胁可能性、弱点暴露的评价来综合得出需要考虑到现有控制措施的效力（控制措施会影响对威胁及弱点的判断）分级方式根据需要来定（取决于威胁和弱点的评价标准），例如：（1,2,3,4,5）,即：（几乎肯定，很可能，有可能，不太可能，很罕见）对现有控制措施的考虑从针对性和实施方式来看，控制措施包括三类：管理性（Administrative）：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。从功能来看，控制措施类型包括：威慑性（Deterrent）预防性（Preventive）检测性（Detective）纠正性（Corrective）安全事件威胁弱点影响利用引发造成威慑性控制防止预防性控制保护检测性控制发现纠正性控制减少风险评估矩阵可能性影响可忽略1较小2中等3较大4灾难性55,几乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）等级取值范围名称描述H25,20High，高风险最高等级的风险，需要立即采取应对措施。不可接受。S12,15,16Significant，严重风险需要高级管理层注意，不可接受。M6,8,9,10Moderate，中等风险必须规定管理责任。通常需要综合考虑取舍。L1,2,3,4,5Low，低风险可以通过例行程序来处理。可接受。定性风险评估举例风险场景：一个个人经济上存在问题的公司职员有权独立访问高敏感的信息，他可能窃取这些卖给公司的竞争对手。确定风险因子：影响为3（中等）可能性为4（很可能）评估风险套用风险分析矩阵，该风险被定为S级（严重风险）应对风险：根据公司确定的风险接受水平，应该对该风险采取措施予以消减。可能性影响可忽略1较小2中等3较大4灾难性55,几乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）12（S）确定风险处置策略降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份规避风险（AvoidRisk）——有时候，组织可以选择放弃某些可能引来风险的业务或资产，以些规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转嫁风险（TransferRisk）——将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。选择控制措施以降低风险选择安全措施时首先关注的是其基本功能，其次还有效力。选择安全措施（countermeasures/safeguard）时需要进行成本效益分析：基本原则：实施安全措施的代价不应该大于所要保护资产的价值对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等控制价值＝实施控制之前的ALE-控制的年成本—实施控制之后的ALE除了成本效益（），还应该考虑到以下约束条件：时间约束，技术约束，环境约束法律约束，社会约束确定所选安全措施的效力，是看实施新措施之后还有什么残留风险绝对安全（即零风险）是不可能的。实施安全控制后会有残留风险或残存风险（ResidualRisk）。为了实现信息安全，应该确保残留风险在可接受的范围内：残留风险Rr=原有风险R0-控制效力△R残留风险Rr≤可接受的风险Rr对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。评价残留风险（ResidualRisk）风险资产威胁脆弱性风险场景：一个个人经济上存在问题的公司职员

有权独立访问某类高敏感度的信息，他

可能窃取这些信息卖给公司的竞争对

手。实施控制之前：影响3（中等），可能性为4（很可能），

风险为12（S级）。实施控制之后：影响为3不变，可能性降为1,残留风险

为3（L级）。应对残留风险：残留风险在可接受范围内，说明措施

的应用是成功的。残留风险计算举例可能性影响可忽略1较小2中等3较大4灾难性55,几乎肯定5（L）10（M）15（S）20（H）25（H）4,很可能4（L）8（M）12（S）16（S）20（H）3，有可能

3（L）6（M）9（M）12（S）15（S）2,不太可能2（L）4（L）6（M）8（M）10（M）1，很罕见1（L）2（L）3（L）4（L）5（L）3（L）例：灶台上有一盘鱼，老鼠通过梯子可以爬到灶台上吃鱼，问以下那种降低风险的方式最合适？A、养一只猫B、老鼠夹C、给盘子盖上罩子D、拿走梯子内容目录信息安全管理基础安全管控框架与体系风险管理组织的信息安全实践信息安全意识、培训和教育要让安全有效，必须让所有人都知道并理解自身角色、责任以及权力因为各个组织需要求不同，要提出一种普遍的解决方案是不可能的组织必须以恰当的方式为员工委派安全相关的角色，这方面应该遵循职责分离原则在维护信息安全的过程中，每个人都有相应的角色和责任，最重要的角色应该是管理层，他们必须为整个信息安全规划定好基调信息安全必须人尽其事高级管理者（Seniormanagement）决策层或高级管理层全面负责信息安全，是信息安全的最终责任人规划信息安全，确定目标和优先次序，委派信息安全责任信息系统安全专家（Informationsecurityprofessionals）即信息安全官（InfosecOfficer）或CSO，受高级管理层委派（通常向CIO负责），负责实施和维护安全设计、实施、管理和复查组织的安全策略、标准、指南和程序协调组织内部各单位之间所有的与安全相关的交互安全委员会（securitycommittee）成员来自：高级管理层代表；IT管理者；业务部门和职能部门负责人；信息安全官等安全委员会的责任：决策并批准安全相关事务、策略、标准、指南和程序安全管理员（SecurityAdministrator）负责实施、监视并执行安全规定和策略各部门可以设立自己的安全管理员，负责执行本部门安全管理事务向安全委员会/信息安全官报告信息系统审计师（Informationsystemsauditor）向安全目标管理提供独立保障检查系统，判断系统是否满足安全需求，以及安全控制是否有效重要的角色和责任数据属主（Dataowners）确定数据的分类等级，确定访问特权，维护信息系统中数据的正确性和完整性保管者（Custodian）负责保管系统/数据库，向合适的人员转达以便响应灾难恢复/应急计划人员从整体上负责组织的应急计划与应用所有者、信息安全人员等协同工作，取得其他应急计划支持CIRT（ComputerIncidentResponseTeam）评价安全事件和造成的损害，提供修补系统正确的响应，搜集证据用户（User）具备应有的安全意识遵守安全策略，恰当使用信息和系统，通报安全事件其他相关角色和责任信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功最高管理层通过明确信息安全目标和方针为信息安全活动指引方向最高管理层能够为信息安全活动提供必要的资源支持最高管理层能够在重大问题上做出决策最高管理层可以协调不同单位不同环节的关系，提升促动力说到底，最高管理层者是组织信息安全的最终责任人组织高管全面负责信息安全管理InformationSecurityOfficer/ChiefSecurityOfficer信息安全官应该确保所有业务信息资产得到妥善保护，防止其遭受故意或无意的损坏、泄漏、篡改和破坏。通常没有直接可用的资源来实施其职能，需要依靠组织中其他人员来实施并执行保护信息的策略、程序、标准和指南。扮演的是组织内部信息安全协调和促动的角色。信息安全官应该理解组织的业务目标，引导风险管理过程，并向高管代表进行有效传达（避免技术细节，侧重业务需求和成本收益分析），确保在业务操作和可接受风险之间达成恰当的平衡。具体职责包括：为信息安全活动做预算。确保策略、程序、基线、标准和指南的开发。开发并提供安全意识程序。评价安全事件并做出响应。开发安全合规性程序。建立安全度量机制。参与管理会议。协助内部和外部审计。CSO的职责向CEO报告减少消息过滤，改善沟通，显示组织对信息安全的重视向IT部门报告直接向CIO或IT负责人报告，一方面信息安全需要IT支持，另一方面，IT方面也需要了解业务需求和成本限制向行政部门报告向负责行政的VP报告，物理安全、人身安全、HR向风险管理部门报告更关注企业面临的风险和控制风险的方法向内审部门报告内审部门和信息安全部门通常会有“利益冲突”，内审部门通常有财务、企业管理和一般性控制的背景，但在技术方面会有欠缺，及时有效的沟通和协助，可以避免产生误解向法务部门报告律师关心的是法律法规的合规性建立有效的报告机制制定有效的安全管理计划，可以确保信息安全策略得到恰当执行进行有效安全管理的途径，应该是自上而下的（Top-Down）：最高管理层负责启动并定义组织的安全方针管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行业务经理或安全专家负责实施安全管理文件中的指定配置最终用户负责遵守组织所有的安全策略安全管理计划小组应该开发三类计划：战略计划（strategicplan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命战术计划（tacticalplan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、系统开发计划等操作计划（operationalplan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等组织的信息安全建设应按计划行事人是信息安全的关键因素，人员管理不善会给组织带来非常大的安全威胁和风险。有调查显示，大多数重大信息安全事件通常都来自组织内部，例如，员工受利益驱使将公司技术图纸出卖给竞争对手，利用内部系统从事经济犯罪活动，或者由于缺乏安全意识或操作技能而导致误操作，引起信息系统故障等。为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险，并且避免引发法律风险，组织应该采取措施，加强内部人员的安全管理：入职安全管理在职安全管理离职安全管理必须高度重视人员安全问题背景检查是工作申请过程的一个部分，组织至少会审查申请简历中的基本信息。可以通过ReferenceCheck来了解其真实履历。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查。通过背景检查，可以防止：因为人员解雇而导致法律诉讼因为雇用疏忽而导致第三方的法律诉讼雇用不合格的人员丧失商业秘密员工从一般岗位转入信息安全重要