信息安全治理和風險管理課件

1、信息安全治理和風險管理Information Security Governance and Risk ManagementCISSP第六版培訓課件之一關(guān)鍵知識領(lǐng)域A. Understand and align security function to goals, mission and objectives of the organization理解安全功能并將其與機構(gòu)目標、使命和宗旨相結(jié)合B. Understand and apply security governance理解并運用安全治理B.1 Organizational processes (e.g., acquisitions,

2、 divestitures, governance committees)組織過程（如收購、分拆、治理委員會）B.2 Security roles and responsibilities安全角色與職責B.3 Legislative and regulatory compliance法律和監(jiān)管的合規(guī)B.4 Privacy requirements compliance隱私要求的合規(guī)B.5 Control frameworks控制框架B.6 Due care盡職關(guān)注B.7 Due diligence盡職調(diào)查關(guān)鍵知識領(lǐng)域C. Understand and apply concepts of con

3、fidentiality, integrity and availability理解并運用保密性、完整性與可用性的概念D. Develop and implement security policy制定并施行安全政策D.1 Security policies安全政策D.2 Standards/baselines標準/基準D.3 Procedures程序D.4 Guidelines方針D.5 Documentation文件編制E. Manage the information life cycle (e.g., classification, categorization, and owners

4、hip)管理信息的生命周期（如分類、歸類與所有權(quán)）F. Manage third-party governance (e.g., on-site assessment, document exchange and review, process/policy review)管理第三方治理（如現(xiàn)場評估、文件交換及審查，過程/政策審查）關(guān)鍵知識領(lǐng)域G. Understand and apply risk management concepts理解并運用風險管理的概念G.1 Identify threats and vulnerabilities身份識別的威脅與漏洞G.2 Risk assessme

5、nt/analysis (qualitative, quantitative, hybrid)風險評估/分析（定性型、定量型、混合型）G.3 Risk assignment/acceptance風險分配/接納G.4 Countermeasure selection對策選擇G.5 Tangible and intangible asset valuation對有形資產(chǎn)和無形資產(chǎn)的評估H. Manage personnel security管理人員安全H.1 Employment candidate screening (e.g., reference checks, education veri

6、fication)求職者甄選（如證明人核實、教育背景查證）H.2 Employment agreements and policies雇傭協(xié)議與政策H.3 Employee termination processes員工解雇流程H.4 Vendor, consultant and contractor controls銷售方、顧問與承包商控制關(guān)鍵知識領(lǐng)域I. Develop and manage security education, training and awareness發(fā)展并管理安全教育、安全培訓與安全意識J. Manage the Security Function管理安全功能J.

7、1 Budget預算J.2 Metrics衡量標準J.3 Resources資源J.4 Develop and implement information security strategies開發(fā)并實施信息安全策略J.5 Assess the completeness and effectiveness of the security program評估安全項目的完整性與有效性目錄安全基本原則（Fundamental Principles of Security）安全定義（Security Definitions）控制類型（Security Definitions）安全架構(gòu)（Security

8、 Frameworks）安全管理（Security Management）風險管理（Risk Management）風險評估和分析（Risk Assessment and Analysis ）策略、標準、基線、指南和流程（Policies, Standards, Baselines, Guidelines, and Procedures）信息分級（Information Classification ）責任分層（Layers of Responsibility）安全指導委員會（Security Steering Committee ）安全治理（Security Governance ）安全基本

9、原則Fundamental Principles of Security保密性（Confidentiality） 確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity） 確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當?shù)匦薷男畔ⅲ３中畔?nèi)部和外部的一致性?？捎眯裕ˋvailability） 確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標，也是基本原則，與之相反的是DAD三元組：DisclosureAlterationDestruction泄漏破壞篡改安全基本原則

10、可用性（Availability ）確保授權(quán)的用戶能夠及時、可靠地訪問數(shù)據(jù)和資源完整性（Integrity）保證信息和系統(tǒng)的準確性和可靠性，并禁止對數(shù)據(jù)的非授權(quán)更改 保密性（Confidentiality）強制實施了必要的保密級別，防止為經(jīng)授權(quán)的信息披露肩窺（Shoulder surfing）通過穿過別人的肩膀獲取未經(jīng)授權(quán)的信息的一種方法社會工程（Social engineering）通過欺騙他人獲取未經(jīng)授權(quán)訪問的信息安全基本原則平衡的安全安全定義Security Definitions威脅因素（Threat agent）威脅（Threat ）脆弱性（vulnerability ）風險（Ris

11、k ）資產(chǎn)（Asset ）暴露（exposure）安全措施（Safeguard）Gives rise to引起Exploits利用leads to導致Can damage可以破壺And causes an并且引起Can be counter measured by a能夠被預防Directly affects直接作用到安全定義脆弱性（vulnerability ）一種軟件、硬件或者過程缺陷。并可以給攻擊者提供便利，產(chǎn)生未授權(quán)的訪問。威脅（ threat ）任何對信息或系統(tǒng)潛在的威脅風險（risk ）威脅因素利用脆弱性所造成的損失的潛在的可能性。暴露（exposure ）因威脅因素而遭受損失的一

12、個案例對策（countermeasure, or safeguard ）可以減輕潛在風險的策略或者安全措施威脅 threat 暴露exposure 脆弱性vulnerability 對策countermeasure風險risk 控制類型Security Definitions控制類型Control types ：管理控制、技術(shù)控制和物理控制控制功能Control functionalities：威懾Deterrent 挫敗潛在攻擊者。預防Preventive 防止意外事件發(fā)生。糾正Corrective 事件發(fā)生后修復?；謴蚏ecovery 恢復必要的組件到正常的操作狀態(tài)。檢測Detective

13、 事件發(fā)生后識別其行為。補償Compensating 向原來的控制措施那樣提供類似保護要。深度防御Defense-in-depth 為使成功滲透和威脅更難實現(xiàn)而采用多種控制措施。安全架構(gòu)（Security Frameworks）安全框架COSO反舞弊財務報告委員會發(fā)起組織委員會（COSO）-成立于1985年，負責主持全美反虛假報告委員會工作，根據(jù)研究結(jié)果向上市公司及其審計師、證劵交易委員會以及其他監(jiān)管機構(gòu)提出建議。COBITCOBIT 是由IT治理協(xié)會發(fā)布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT 5框架的支持模塊，使用術(shù)語“管理過程”代替了原來的“控制措施”。ITIL信

14、息技術(shù)基礎(chǔ)設施庫（ITIL）第3版包括五本書，涵蓋了服務管理的整個生命周期。ISO/IEC 27000ISO/IEC 27000系列標準提供了整個信息安全管理體系環(huán)境下的信息安全管理、風險和控制的最佳實踐推薦。ISF信息安全論壇（ISF）-最佳實踐標準給出了實踐指南和解決方案來處理目前影響業(yè)務信息的大范圍安全挑戰(zhàn)。安全管理（Security Management）信息安全的成敗取決于兩個因素：技術(shù)和管理。 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。 信息安全管理（Information Security Management

15、）作為組織完整的管理體系中一個重要的環(huán)節(jié)，其主要活動包括：識別信息資產(chǎn)及相關(guān)風險，采取恰當?shù)牟呗院涂刂拼胧┮韵麥p風險，監(jiān)督控制措施有效性，提升人員安全意識等。 根據(jù)風險評估結(jié)果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。 實施所選的安全控制措施。提升人員安全意識。 針對檢查結(jié)果采取應對措施，改進安全狀況。 依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。信息安全管理模型風險管理（Risk Management）在信息安全領(lǐng)域，風險（Risk）就是指信息資產(chǎn)遭受到損壞并給企業(yè)帶來負面影響的潛在可能性。風險管理（Risk Management）就是識別風險、評

16、估風險、采取措施將風險減少到可接受水平，并維持這個風險水平的過程。風險管理是信息安全管理的核心內(nèi)容。風險管理相關(guān)要素資產(chǎn)（Asset）對組織具有價值的信息資產(chǎn)，包括計算機硬件、通信設施、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識別出威脅源（Threst source）或威脅代理（Threst agent）。弱點（Vulnerability）也被稱作漏洞或脆弱性，及資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風險（Risk）特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)

17、組帶來損害的潛在可能性?？赡苄裕↙ikelihood）對威脅發(fā)生幾率（Probability）或頻率（Freqiency）的定性描述。影響（Impact）后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（Residl Risk）在實施安全措施之后仍然存在的風險。匹配以下的術(shù)語和定義暴露可能性威脅防護措施對策資產(chǎn)攻擊/利用總風險脆弱性威脅來源/威脅源控制對組織實現(xiàn)方向和目標有價值的東西

18、。有可能對IT系統(tǒng)產(chǎn)生損害的任何環(huán)境或事件。信息或信息系統(tǒng)的潛在危險。某個威脅導致?lián)p失的負面事件的影響，或某次攻擊所導致?lián)p失的數(shù)量。在系統(tǒng)安全程序、設計、實施或內(nèi)部控制方面的缺陷或弱項，可能被執(zhí)行（無意的或有意的）導致安全違規(guī)或違反系統(tǒng)的安全策略。潛在脆弱性在相關(guān)威脅環(huán)境中利用的概率或幾率。企圖導致?lián)p害的活動。威脅源利用信息系統(tǒng)的脆弱性實現(xiàn)猥褻的行為。保護系統(tǒng)的行政的、技術(shù)的或物理的措施和活動。包括對策和防護措施。事后應用的控制措施，被動性的。事前應用的控制措施，主動性的。包括威脅、脆弱性和資產(chǎn)價值的所有因素。風險管理各要素相互關(guān)系Safeguards安全措施Security requirem

19、ent安全需求Protect against防范Met by采取Indicate提出Reduce減少threats威脅vulnerabilities脆弱性Exploit利用Increase導致Increase導致Expose暴露Increase增加Have具有Risk風險Assets資產(chǎn)Assets value資產(chǎn)價值風險管理的目標風險RISKRISKRISKRISK風險基本的風險采取措施后剩余的風險資產(chǎn)威脅弱點資產(chǎn)威脅弱點風險管理過程的邏輯方式Risk風險Threat威脅Vulnerability脆弱性Asset Value資產(chǎn)價值=Residual Risk殘余風險Threat威脅Vuln

20、erability脆弱性Asset Value資產(chǎn)價值=（）Control Gap控制差距風險評估和分析Risk Assessment and Analysis風險評估（Risk Assessment）是對信息資產(chǎn)及其價值、面臨的威脅、存在的弱點，以及三者綜合作用而帶來風險的大小或水平的評估。作為風險管理的基礎(chǔ)，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務包括：識別機構(gòu)風險的各種因素評估風險發(fā)生的可能性和造成的影響，并最終評價風險水平或大小確定組織承受風險的能力確定風險消減和控制的策略、目標和優(yōu)先順序推薦風險消減對策以供實施包括風險分析（Risk

21、Analysis）和風險評價（Risk Evaluation）兩部分，但一般來說，風險評估和風險分析同義。風險評估一般過程定量評估和定性評估定量風險評估：試圖從數(shù)字上對安全風險及其構(gòu)成因素進行分析評估的一種方法。定性風險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。定性風險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，較難客觀地跟蹤風險管理的效果對關(guān)鍵資產(chǎn)財務價值評估參考性較低并不能為安全措施的成本效益分析提供客

22、觀依據(jù)定量風險分析優(yōu)點評估結(jié)果是建立在獨立客觀的程序或量化指標之上的可以為成本效益審核提供精確依據(jù)，有利于預算決策量化的資產(chǎn)價值和預期損失易理解可利用自動化工具幫助分析缺點輸入數(shù)據(jù)的可靠性和精確性難以保證沒有一種標準化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商信息計算量大，方法復雜，費時費力定量風險評估概述對構(gòu)成風險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額。當度量風險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結(jié)果就都可以被量化。定量分析有兩個關(guān)鍵指標：事件發(fā)生的頻率（用ARO來表示）和威脅事件可能引起的損失（用EF來表示）。理論上講，通

23、過定量分析可以對安全風險進行準確分級，但這有個前提，那就是可供參考的數(shù)據(jù)指標是準確的。定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難。實際風險分析時，采用定量分析或者純定量分析方法比較少定量分析基本概念暴露因子（Exposure Factor，EF）特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。單一損失期望（Single Loss Expectancy，SLE）或者稱作SOC（Single Occurance Costs），即特定威脅單次發(fā)生可能造成的潛在損失量。年度發(fā)生率（Annualized Rate of O

24、ccurrence，ARO）即威脅在一年內(nèi)估計會發(fā)生的次數(shù)。年度損失期望（Annualized Loss Expectancy，ALE）或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預期值。定量分析基本過程識別資產(chǎn)并為資產(chǎn)賦值；評估威脅和弱點，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間）；計算特定威脅發(fā)生的次數(shù)（頻率），即ARO；計算資產(chǎn)的SLE；計算資產(chǎn)的ALE。資產(chǎn)價值（AV）暴露因子（EF）=單一損失期望（SLE）單一損失期望（SLE）年發(fā)生比率（ARO）=ALE（年度損失期望）定量分析舉例假定某公司投資500,0

25、00美元建了一個網(wǎng)絡運營中心，其最大的威脅是火災，一旦火災發(fā)生，網(wǎng)絡運營中心的估計損失程度是45%。根據(jù)消防部門推斷，該網(wǎng)絡運營中心所在的地區(qū)每5年會發(fā)生一次火災，于是我們得出了ARO為0.20的結(jié)果?；谝陨蠑?shù)據(jù)，該公司網(wǎng)絡運營中心的ALE將是45,000美元。AssetThreatAsset ValueEFSLEAROALE網(wǎng)絡運營中心火災$500,0000.45225,0000.20$45,000Web服務器電源故障$25,0000.25$6,2500.50$3,125Web數(shù)據(jù)病毒%150,0000.33$50,0002.00$1000,000客戶數(shù)據(jù)泄漏$250,0000.75$18

26、7,5000.66$123,750定性風險評估概述定性分析方法目前采用最為廣泛，它帶有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級，例如“高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問卷（Questionnaire）、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準。與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反定性分析沒有定量分析那樣繁多的計算

27、負擔，但卻要求分析者具備一定的經(jīng)驗和能力。識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全的直接目標。劃入風險評估范圍和邊界的每項資產(chǎn)都應該被識別和評價。應該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。組織應該建立資產(chǎn)清單，根據(jù)業(yè)務流程來識別信息資產(chǎn)。信息資產(chǎn)的存在形式多種，物理的、邏輯的、無形的。 電子數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊，培訓資料，計劃等。 書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。 軟件資產(chǎn)：應用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序。 實物資產(chǎn)：計算機和通信設備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設備，基礎(chǔ)設施。 人員：承擔特定職能和責任的人員或角色。 服務：計算和通信服務，外包服

28、務，其他技術(shù)性服務。 組織形象與聲譽：無形資產(chǎn)。評價信息資產(chǎn)資產(chǎn)評價時應該考慮：信息資產(chǎn)因為受損而對業(yè)務造成的直接損失信息資產(chǎn)恢復到正常狀態(tài)所付出的代價，包括檢測、控制、修復時的人力和物力組織公眾形象和名譽上的損失，因業(yè)務受損導致競爭優(yōu)勢降級而引發(fā)的間接損失其他損失，例如保險費用的增加定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務影響或成果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級，例如：災難性、較大、中等、較小、可忽略應該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。識別并評估威脅識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨

29、多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認引發(fā)威脅的人或物，即威脅源（威脅代理，Threat Agent）。威脅通常包括（來源）： 人員威脅：故意破壞和無意失誤 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡或服務出現(xiàn)的故障 環(huán)境威脅：電源故障、污染、液體泄漏、火災等 自然威脅：洪水、地震、臺風、雷電等評估威脅可能性時要考慮到威脅源的動機和能力因素（內(nèi)因）。威脅發(fā)生的可能性可以用“高”、“中”、“低”三級來衡量。識別并評估弱點針對每一項需要保護的資產(chǎn)，找到到可被威脅利用的弱點，包括：技術(shù)性弱點：系統(tǒng)、程序、設備中存在的漏洞或缺陷操作性弱點：配置、操作和使用中的缺陷，包括人的不良習慣、操作過程的漏

30、洞管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試評估弱點時需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級來衡量。資產(chǎn)、威脅及弱點關(guān)系弱點威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件，信譽竊取軟件數(shù)據(jù)完整性，信譽沒有應急計劃火災、颶風、地震、水災、恐怖攻擊設施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽竊取軟件數(shù)據(jù)完整性，信譽風險評價之前需要確定兩個指標風險影響： 可以通過資產(chǎn)的價值評估來確定 分級方式根據(jù)需要來定，例如： （1，2，3

31、，4，5），即： （可忽略，較小，中等，較大，災難性）風險可能性： 可以通過威脅可能性、弱點暴露度的評價來綜合得出 需要考慮到現(xiàn)有控制措施的效力（控制措施會影響對威脅及弱點的判斷） 分級方式根據(jù)需要來定（取決于威脅和弱點的評價標準），例如： （1，2，3，4，5），即： （幾乎肯定，很可能，有可能，不太可能，很罕見）對現(xiàn)有控制措施的考慮從針對性和實施方式來看，控制措施包括三類：管理性（Administrative）：對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來保護系統(tǒng)和應用操作的流程和機制，包括人員

32、職責、應急響應、事件處理、意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識別與認證、邏輯訪問控制、日志審計、加密等。從功能來看，控制措施類型包括：威懾性（Deterrent）預防性（Preventive）檢測性（Detective）糾正性（Corrective）風險評估矩陣可能性影響可忽略 1較小 2中等3較大4災難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（

33、L）3（L）4（L）5（L）等級取值范圍名稱描述H25,20High，高風險最高等級的風險，需要立即采取應對措施。不可接受。S12,15,16Significant，嚴重風險需要高級管理層注意。不可接受M6,8,9,10Moderate，中等風險必須規(guī)定管理責任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風險可以通過例行程序來處理。可接受。定性風險評估舉例風險場景：一個個人經(jīng)濟上存在問題的公司職員有權(quán)獨立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。確定風險因子：影響為3（中等）可能性為4（很可能）評估風險：套用風險分析矩陣，該風險被定為S級（嚴重風險）應對風險：根據(jù)公司

34、確定的風險接受水平，應該對該風險采取措施予以消減?？赡苄杂绊懣珊雎?1較小 2中等3較大4災難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）12（S）確定風險消減策略Risk Mitigation降低風險（Reduce Risk）實施有效控制，將風險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，實施惡意軟件控制程序，減少信

35、息系統(tǒng)惡意軟件攻擊的機會減少弱點：例如，通過安全意識培訓，強化職員的安全意識與安全操作能力降低影響：例如，制定災難恢復計劃和業(yè)務連續(xù)性計劃，做好備份規(guī)避風險（Avoid Risk）或者Rejecting Risk。有時候，組織可以選擇放棄某些可能引來風險業(yè)務或資產(chǎn)，以此來規(guī)避風險。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡的攻擊。轉(zhuǎn)嫁風險（Transfer Risk）也稱作RiSk Assignment。將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。接受風險（Accept Risk）在實施了其他風險應對措施之后，對于 殘留的風險，組織可以選擇接受。選擇控制措施以降低風

36、險選擇安全措施時首先關(guān)注的是其基本功能，其次還有效力。選擇安全措施（對策）時需要進行成本效益分析：基本原則：實施安全措施的代價不應該大于所要保護資產(chǎn)的價值對策成本：購買費用，對業(yè)務效率的影響，額外人力物力，培訓費用，維護費用等控制價值=實施控制之前的ALE-控制的年成本-實施控制之后的ALE除了成本效益，還應該考慮到以下約束條件：時間約束，技術(shù)約束，環(huán)境約束法律約束，社會約束確定所選安全措施的效力，是看實施新措施之后還有什么殘留風險評價殘留風險絕對安全（即零風險）是不可能的。實施安全控制后有殘留風險或殘存風險（Residual Risk）。為了實現(xiàn)信息安全，應該確保殘留風險在可接受的范圍內(nèi)：殘

37、留風險Rr=原有風險R0-控制效力R殘留風險Rr可接受的風險Rt對殘留風險進行確認和評價的過程其實就是風險接受的成果。決策者可以根據(jù)風險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。殘留風險計算舉例風險場景：一個個人經(jīng)濟上那個存在問題的公司職員有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。實施控制之前：影響為3（中等），可能性為4（很可能），風險為12（S級）。實施控制之后：影響為3不變，可能性降為1，殘留風險為3（L級）。應對殘留風險：殘留風險在可接受范圍內(nèi)，說明控制措施的應用是成功的?？赡苄杂绊懣珊雎?1較小 2中等3較大4災難性55，幾乎肯定5（L

38、）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）3（L）策略、標準、基線、指南和流程Policies, Standards, Baselines, Guidelines, and Procedures方針 Policy程序 Procedure標準 Standard強制性指南 Guideline建議性基線 Baseline最低標準目標要求具體步驟實現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次策略、標準、基線、指南

39、和流程Policies, Standards, Baselines, Guidelines, and Procedures方針處于策略鏈的最高層次，它是由組織的高級管理層發(fā)布的、關(guān)于信息安全最一般性的聲明。方針應該代表著高級管理層對信息安全承擔責任的一種承諾。一旦發(fā)布，要求組織成員必須遵守。方針的實施要依靠標準、指南和程序。標準標準規(guī)定了在組織范圍內(nèi)強制執(zhí)行的對特定技術(shù)和方法的使用。標準起著驅(qū)動方針的作用，標準可以用來建立方針執(zhí)行的強制機制。指南類似于標準，也是關(guān)于加強系統(tǒng)安全的方法，但它是建議性的。指南比標準更靈活，考慮到了不同信息系統(tǒng)的特點。指南也可用來規(guī)定標準的的開發(fā)方式，或者保證對一般

40、性安全原則的遵守。彩虹系列、CC、BS7799等，都可以看作是此類?；€基線建立的是滿足方針要求的最低級別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標準。標準的開發(fā)通常都是以基線為基礎(chǔ)的，基線可以看作是抽象的簡單化的標準。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配置。程序是執(zhí)行特定任務的詳細步驟。位于策略鏈的最低層次，是實現(xiàn)方針、標準和指南的詳細步驟策略的種類規(guī)章性策略用于確保組織機構(gòu)遵守特定的行業(yè)規(guī)章建立的標準建議性策略強烈推薦雇員在組織機構(gòu)中應該采取的某些行為和活動指示性策略告知雇員相關(guān)信息信息分級（Information Classification ）并

41、不是所有的數(shù)據(jù)都有相同的價值，不同數(shù)據(jù)的敏感程度也不同，組織需要判斷應該投入多少資金和資源去保護不同的數(shù)據(jù)為此，通過數(shù)據(jù)分類，識別最敏感最關(guān)鍵的數(shù)據(jù)，從而對應選擇保護措施，確保對cel各類數(shù)據(jù)的保護達到合適的水平數(shù)據(jù)分類能夠宣示組織在信息安全保護方面所做的承諾通過數(shù)據(jù)分類和實施恰當?shù)谋Ｗo，可以保證信息資產(chǎn)的CIA政府機構(gòu)沿用數(shù)據(jù)分類已經(jīng)很久，但主要強調(diào)保密性，側(cè)重于防泄密數(shù)據(jù)分類也是符合隱私或數(shù)據(jù)保護相關(guān)法律的必要活動識別信息對篡改的敏感度：以便將注意力集中在完整性控制上識別需要保護的機密性信息的敏感度：理解信息的價值滿足法律要求信息分級 根據(jù)信息的用途、價值、敏感程度等屬性的不同，將信息分為

42、不同的級別和類別，制定針對不同級別和類別的信息安全保護辦法，這樣在工作中只要正確標定和執(zhí)行相關(guān)的保護措施，就可以比較方便、有效地保障信息的安全傳統(tǒng)上，政府和軍方比較關(guān)注信息的保密性，通常把信息分為絕密（Top Secret）、機密（Secret）、保密（Confidential）、敏感非保密（Sensitive But Unclassified）、非保密（Unclassified）民間機構(gòu)對隱私保護、完整性、可用性要求比較突出，可以把信息分為保密（Confidential）、私密（Private）、敏感（Sensitive）、公開（Public）信息資產(chǎn)應由其擁有者（Owner）負責確定其保護

43、級別，由保管者（Custodian）和使用者（User）應遵循與級別相關(guān)的保護要求和措施政府機構(gòu)數(shù)據(jù)分類方案示例類別描述絕密（Top Secret）絕密信息的泄漏會對國家安全造成極大的破壞。在美國，此等級對應的只有總統(tǒng)。秘密（Secret）泄漏秘密的數(shù)據(jù)會給國家安全造成嚴重損害，只是這些信息的敏感程度不如絕密數(shù)據(jù)那么大。機密（Confidential）通常指那些受法律保護不得泄漏的數(shù)據(jù)，例如美國的信息自由法，但此類數(shù)據(jù)并不屬國家安全數(shù)據(jù)。敏感但非常（Sensitive But Unclassified，SBU）SBU數(shù)據(jù)對國家安全并不重要，但泄漏這些數(shù)據(jù)可能會帶來某些危害。許多機構(gòu)將其得到的公

44、民數(shù)據(jù)歸類為SBU，例如保健信息。非密（Unclassified）沒有進行分類或并不敏感的數(shù)據(jù)。此類數(shù)據(jù)的公開發(fā)布并不影響保密性。商業(yè)機構(gòu)數(shù)據(jù)分類方案示例類別描述機密（Confidential）非常敏感，只應內(nèi)部使用。未授權(quán)泄漏將對公司造成嚴重的、負面的影響。例如，有關(guān)新產(chǎn)品開發(fā)的信息，商業(yè)秘密，合并談判等。私秘（Private）與個人相關(guān)的信息，只應被公司使用。其泄漏可能對公司或其職員造成消極影響。例如，薪資和醫(yī)療信息。敏感（Sensitive）此類信息要求比正常數(shù)據(jù)具有更高的分類等級。要求具有高度的完整性和保密性。公共（Public）類似未分類信息。所有并不適合上述類別的公司信息都歸為此類

45、。公共數(shù)據(jù)是最不敏感的數(shù)據(jù)，如果泄漏，不會對公司造成嚴重或者消極影響。三級數(shù)據(jù)分類方案示例類別描述（強調(diào)保密性）機密（Confidential）最敏感的，應遵循need-to-know原則內(nèi)部使用（Internal use only）在內(nèi)部傳播是安全的，但不能對外泄漏公共（Public）公開泄漏也沒關(guān)系類別描述（強調(diào)完整性和可用性）高（High）如果信息遭受破壞，可能帶來人身傷亡、嚴重的經(jīng)濟損失或刑罰中（Medium）如果信息遭受破壞，會帶來顯著地經(jīng)濟損失低（Low）如果信息遭受破壞，只會造成輕微的損失，需要最少的管理措施來予以糾正數(shù)據(jù)分類標準價值（Value）：價值是最通常的數(shù)據(jù)分類標準，如

46、果信息對一個組織或者其競爭對手有價值，就需要分類壽命（Age）：隨著時間的推移，信息價值會降低，其分類也會降低。例如，政府部門，某些分類檔案會在預定的時間期限過后自動解除分類使用期（Useful Life）：如果由于新信息的替代、公司發(fā)生的真實變化或者其他原因，信息過時了，可以對其解除分類人員關(guān)聯(lián)（Personal Association）：如果信息與特定個人相關(guān)，或者是法律（比如隱私法）、規(guī)章和責任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類數(shù)據(jù)分類相關(guān)角色和責任屬主（Owner）：信息屬主可能是組織的某個決策者或者管理者，或者部門負責人，或者是信息的創(chuàng)建者，

47、對必須保護的信息資產(chǎn)負責，承擔著“due care”的責任，但日常的數(shù)據(jù)保護工作則由保管者承擔。信息屬主的責任在于：基于業(yè)務需求，對信息分類等級作出最初決定；定期復查分類方案，根據(jù)業(yè)務需求的變化作出更改；向保管者委派承擔數(shù)據(jù)保護任務的責任保管者（Custodian）:受信息屬主委托而負責保護信息，通常由IT系統(tǒng)人員來承擔，其職責包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進行恢復；根據(jù)既定的信息分類策略，維護保留下來的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費者，應該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔保護信息

48、安全的責任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用分級控制數(shù)據(jù)分級措施定義分級級別指定確定如何分類數(shù)據(jù)的準則由數(shù)據(jù)所有者指明負責的數(shù)據(jù)的分類任命負責維護數(shù)據(jù)及其安全級別的數(shù)據(jù)管理員制定每種分類級別所需的安全控制或保護機制記錄上述分類問題的例外情況說明可用于將信息保管轉(zhuǎn)交給其他數(shù)據(jù)所有者的方法建立一個定期審查信息分類和所有權(quán)的措施。向數(shù)據(jù)管理員通報任何變更指明信息解密措施將這些安全問題綜合為安全意識計劃，讓所有員工都了解如何處理不同分類級別的數(shù)據(jù)分類數(shù)據(jù)對外分發(fā)分類信息往往需要對外分發(fā)，隨即帶來的隱患應該引起注意。以下是一些需要對外分類信息進行分發(fā)的例子：法律程序：為了遵守某些法

49、律程序，分類信息可能需要泄漏出來政府合同：政府訂約人可能需要根據(jù)與政府項目相關(guān)的采購協(xié)議而泄漏分類信息高層批準：高級決策層可能授權(quán)向外部實體或組織發(fā)布分類信息，此類發(fā)布可能要求外部伙伴簽署保密協(xié)議責任分層（Layers of Responsibility）董事會（Board of Directors）董事會由企業(yè)股東選出的一組人員組成，負責監(jiān)督企業(yè)憲章的執(zhí)行情況。成立董事會的是為了確保股東的利益得到保護，并且企業(yè)能夠平穩(wěn)運行。董事會成員應該是沒有偏見的獨立個人，他們負責監(jiān)督行政人員在管理公司方面的表現(xiàn)。執(zhí)行管理層（Executive Management）執(zhí)行管理層由頭銜以字母C開頭的個人組成

50、CEO通常由董事會主席擔任，是公司內(nèi)地位最高的人。擔任這個角色的人負責從宏觀絕度監(jiān)督公司的財務、戰(zhàn)略規(guī)劃和運營。CFO（chief financial officer，首席財務官）負責公司的賬目和財務活動以及組織機構(gòu)的總體財務結(jié)構(gòu)。他負責決定組織機構(gòu)的財務需求，以及如何為這些需求提供資金。執(zhí)行管理層CIO（Chief Information Officer，首席信息官）處于公司組織結(jié)構(gòu)的較低層。根據(jù)企業(yè)結(jié)構(gòu)，他們負責向CEO或CFO上報，并且負責組織機構(gòu)內(nèi)部信息系統(tǒng)和技術(shù)的戰(zhàn)略使用與管理。越來越多的組織機構(gòu)要求CIO進入高級管理層。CIO的職責已經(jīng)擴展到在業(yè)務流程管理、收入來源以及如何利用公司

51、的內(nèi)在技術(shù)實現(xiàn)業(yè)務戰(zhàn)略方面與CEO（和其他管理層）進行合作CPO（Chief Privacy Officer，首席隱私官）是一個較新的職位，設立該職位主要是因為公司在保護各種類型數(shù)據(jù)方面面臨日益增長的需求。這個角色負責確保客戶、公司和雇員數(shù)據(jù)的安全，避免公司陷入刑事和民事訴訟，并防止公司由于數(shù)據(jù)泄露而登上新聞頭條。這個職位通常由律師擔任，并直接參與有關(guān)數(shù)據(jù)的收集、保護盒將數(shù)據(jù)交付給第三方的策略制訂。執(zhí)行管理層CSO（Chief Security Officer，首席安全官）了解公司面臨的風險和將這些風險緩解至可接受的級別。這個角色要了解組織機構(gòu)的業(yè)務推動了，并為促進這些推動力而制訂和維護一個安

52、全計劃，同時還負責提供安全、確保遵守大量法律法規(guī)以及滿足客戶需求或合約義務。安全指導委員會（Security Steering Committee ）審計委員會（Audit Committee）公司財務報表以及向股東和其他人提供的財務信息的完整性公司的內(nèi)部控制系統(tǒng)獨立審計員的雇傭和表現(xiàn) 內(nèi)部審計功能實現(xiàn)遵守與道德有關(guān)的法律要求和公司策略數(shù)據(jù)屬主（Data owners）確定數(shù)據(jù)的分類等級，確定訪問特權(quán)，維護信息系統(tǒng)中數(shù)據(jù)的正確性和完整性數(shù)據(jù)保管（Data Custodian）負責保管系統(tǒng)/數(shù)據(jù)庫，通常就是網(wǎng)絡和系統(tǒng)管理人員系統(tǒng)所有者（System Owner）包括網(wǎng)絡、主機、數(shù)據(jù)庫、應用等的系

53、統(tǒng)管理員根據(jù)安全管理的要求對自己所負責的系統(tǒng)進行日常安全保障安全指導委員會（Security Steering Committee ）安全管理員（Security Administrator）負責實施、監(jiān)視并執(zhí)行安全規(guī)定和策略各部門可以設立自己的安全管理員，負責執(zhí)行本部門安全管理事務向安全委員會/信息安全主管報告安全分析員（Security Analyst）幫助制訂策略、標準和指南，并設立各種基準應用程序所有者（Application Owner）業(yè)務部門經(jīng)理，負責規(guī)定哪些人有權(quán)訪問他們的應用程序監(jiān)督員（Supervisor）也稱為用戶經(jīng)歷，主要負責所有用戶活動以及由這些用戶建立并擁有的資產(chǎn)安

54、全指導委員會（Security Steering Committee ）變更控制分析員（Change Control Analyst）負責批準或否決變更網(wǎng)絡、系統(tǒng)或軟件的請求數(shù)據(jù)分析員（Data Analyst）保證以最佳方式存儲數(shù)據(jù)，從而為需要訪問和應用數(shù)據(jù)的公司與個人提供最大的便利流程所有者（Process Owner）負責正確定義、改進并監(jiān)控這些過程方案解決商（Solution Provider）用戶（User）具備應有的安全意識遵守安全策略，恰當使用信息和系統(tǒng)，通報安全事件安全指導委員會（Security Steering Committee ）生產(chǎn)線經(jīng)理（Product Line M

55、anager）審計員（Auditor）向安全目標管理提供獨立保障檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效安全指導委員會（Security Steering Committee ）人員安全職責分離（Separation of duties）不應有人從頭到尾地完全控制一項牽涉到敏感的、有價值的、或者關(guān)鍵信息的任務。例如金融交易中，一個人負責數(shù)據(jù)錄入，另一個人負責檢查，第三人確認最終交易。雙重控制：開發(fā)/生產(chǎn)；安全管理/審計；加密密鑰管理/密鑰更改。知識分割：加密密鑰分成兩個組件，任何一個都不會泄漏另一個。工作輪換（Job rotation）不允許某人過長時間地擔任某個固定的職位，其

56、目的是避免個人獲得過多的控制。設置人員備份，有利于交叉培訓，有利于發(fā)現(xiàn)欺詐行為。強制度假（Mandatory vacation）要求擔任敏感職位的人員度假。讓某些職員離開崗位一段時間，其他人就能介入并檢查其疏漏安全指導委員會（Security Steering Committee ）人員離職（Termination）人員離職往往存在安全風險，特別是雇員主動辭職時解雇通知應選擇恰當?shù)臅r機，例如重要項目結(jié)束，或新項目啟動前使用標準的檢查列表（Checklist）來實施離職訪談離職者需在陪同下清理個人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡和物理設施的訪問權(quán)解除電話，注銷電子郵箱，鎖定Internet賬號 通知外部伙伴或客戶，聲明此人已離職背景檢查（Background Check）背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息?？梢酝ㄟ^Reference Check來了解其真實履歷。對于敏感職位，可能還會考慮進一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請