CISP0302信息安全風(fēng)險(xiǎn)管理

信息平安風(fēng)險(xiǎn)管理培訓(xùn)機(jī)構(gòu)名稱(chēng)講師名稱(chēng)課程內(nèi)容2知識(shí)域：風(fēng)險(xiǎn)管理工作內(nèi)容知識(shí)子域：風(fēng)險(xiǎn)管理工作主要內(nèi)容掌握建立背景的主要工作內(nèi)容掌握風(fēng)險(xiǎn)評(píng)估的主要工作內(nèi)容掌握風(fēng)險(xiǎn)處置的主要工作內(nèi)容掌握批準(zhǔn)監(jiān)督的主要工作內(nèi)容掌握監(jiān)控審查的主要工作內(nèi)容掌握溝通咨詢的主要工作內(nèi)容3風(fēng)險(xiǎn)管理是各行業(yè)采取的普遍工作方法4通用風(fēng)險(xiǎn)管理定義定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過(guò)程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情那么押后處理。5信息平安工作為什么需要風(fēng)險(xiǎn)管理方式常見(jiàn)問(wèn)題問(wèn)題根源淺析安全投資逐年增加，但看不到收益沒(méi)有根據(jù)風(fēng)險(xiǎn)優(yōu)先級(jí)做安全投資規(guī)劃，沒(méi)有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低按照國(guó)家要求或行業(yè)要求開(kāi)展信息安全工作，但安全事件仍出現(xiàn)沒(méi)有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒(méi)有突出控制高風(fēng)險(xiǎn)。IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個(gè)領(lǐng)域決策者沒(méi)有看到安全投資收益報(bào)告，資金劃撥無(wú)參考依據(jù)。當(dāng)了CIO，時(shí)刻擔(dān)心系統(tǒng)出事，無(wú)法預(yù)見(jiàn)可能會(huì)出什么事沒(méi)有殘余風(fēng)險(xiǎn)清單，在什么條件可被觸發(fā)，如何做好控制6信息平安工作為什么需要風(fēng)險(xiǎn)管理方式〔續(xù)〕信息平安風(fēng)險(xiǎn)和事件不可能完全防止，沒(méi)有絕對(duì)的平安。信息平安是高技術(shù)的對(duì)抗，有別于傳統(tǒng)平安，呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)因此管理信息平安必須以風(fēng)險(xiǎn)管理的方式，關(guān)鍵在于如何控制、化解和躲避風(fēng)險(xiǎn)，而不是完全消除風(fēng)險(xiǎn)。7風(fēng)險(xiǎn)管理是信息平安保障工作有效工作方式好的風(fēng)險(xiǎn)管理過(guò)程可以讓機(jī)構(gòu)以最具有本錢(qián)效益的方式運(yùn)行，并且使的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過(guò)程使組織可以用一種一致的、條理清晰的方式來(lái)組織有限的資源并確定優(yōu)先級(jí)，更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過(guò)程。8什么是信息平安風(fēng)險(xiǎn)管理定義一：GB/Z24364《信息平安風(fēng)險(xiǎn)管理指南》信息平安風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過(guò)程。定義二：在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)降低到可接受水平的過(guò)程。了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)9正確的風(fēng)險(xiǎn)管理方法10保護(hù)人身平安遏制損害評(píng)估損害確定損害部位修復(fù)損害部位審查響應(yīng)過(guò)程并更新平安策略反響性風(fēng)險(xiǎn)管理評(píng)估風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)決策風(fēng)險(xiǎn)控制評(píng)定風(fēng)險(xiǎn)管理的有效性前瞻性風(fēng)險(xiǎn)管理+=前瞻性風(fēng)險(xiǎn)管理反響性風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理最正確實(shí)踐流行性感冒是一種致命的呼吸道疾病，美國(guó)每年都會(huì)有數(shù)以百萬(wàn)計(jì)的感染者。這些感染者中，至少有100,000人必須入院治療，并且約有36,000人死亡。您可能會(huì)選擇通過(guò)等待以確定您是否受到感染，如果確實(shí)受到感染，那么采用服藥治療這種方式來(lái)治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開(kāi)始之前接種疫苗。二者相結(jié)合才是最正確風(fēng)險(xiǎn)管理方法。信息平安風(fēng)險(xiǎn)管理的目標(biāo)信息平安屬性11信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)資產(chǎn)〔Asset〕威脅源〔ThreatAgent〕威脅〔Threat〕脆弱性〔Vunerability〕控制措施〔Countermeasure,safeguard,control〕可能性〔Likelihood,Probability〕影響〔Impact,loss〕風(fēng)險(xiǎn)〔 Risk〕剩余風(fēng)險(xiǎn)〔ResidentalRisk〕12信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在〔多種分類(lèi)方法〕物理的〔如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等〕和邏輯的〔如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等〕；硬件的〔如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤(pán)和鼠標(biāo)等〕和軟件的〔如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等〕；有形的〔如機(jī)房、設(shè)備和人員等〕和無(wú)形的〔如品牌、信心和名譽(yù)等〕；靜態(tài)的〔如設(shè)施和規(guī)程等〕和動(dòng)態(tài)的〔如人員和過(guò)程等〕；技術(shù)的〔如計(jì)算機(jī)硬件、軟件和固件等〕和管理的〔如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過(guò)程、方案和人員等〕等。13信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的活動(dòng)。威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例：操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析14漏洞利用拒絕效勞竊取數(shù)據(jù)物理破壞社會(huì)工程信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或平安隱患。是造成風(fēng)險(xiǎn)的內(nèi)因。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備平安配置錯(cuò)誤系統(tǒng)操作流程有缺陷維護(hù)人員平安意識(shí)缺乏15信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-控制措施是根據(jù)平安需求部署，用來(lái)防范威脅，降低風(fēng)險(xiǎn)的措施。舉例部署防火墻、入侵檢測(cè)、審計(jì)系統(tǒng)測(cè)試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤(pán)管理制度16信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-可能性是指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專(zhuān)業(yè)工具才能利用，發(fā)生不良后果的可能性很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生的可能性較小?；ヂ?lián)網(wǎng)公開(kāi)漏洞且有相應(yīng)的測(cè)試工具，發(fā)生不良后果的可能性很大。17信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-影響是指威脅源利用脆弱性造成不良后果的程度大小舉例網(wǎng)站被黑客控制，國(guó)家級(jí)網(wǎng)站比省市網(wǎng)站的名譽(yù)損失大很多。銀行門(mén)戶網(wǎng)站和內(nèi)部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。同樣型號(hào)路由器被攻破，用于互聯(lián)網(wǎng)骨干路由要比企業(yè)內(nèi)部系統(tǒng)的路由器損失更大。18信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)是指威脅源采用恰當(dāng)?shù)耐{方式利用脆弱性造成不良后果。網(wǎng)站存在SQL注入漏洞，普通攻擊者利用自動(dòng)化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國(guó)家政府部門(mén)聲譽(yù)19威脅源威脅方式脆弱性風(fēng)險(xiǎn)采取利用造成信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)之間的關(guān)系20威脅源威脅方式脆弱性風(fēng)險(xiǎn)采取利用造成資產(chǎn)不良影響控制措施破壞造成受控制直接影響信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)GB/T20984的定義：信息平安風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致平安事件的發(fā)生及其對(duì)組織造成的影響。信息平安風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息平安風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息平安風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。21信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-剩余風(fēng)險(xiǎn)是指采取了平安措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。有些剩余風(fēng)險(xiǎn)是在綜合考慮了平安本錢(qián)與效益后不去控制的風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的平安事件舉例風(fēng)險(xiǎn)列表中有10類(lèi)風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)本錢(qián)效益分析，只有前8項(xiàng)需要控制，那么另2項(xiàng)為剩余風(fēng)險(xiǎn)，一段時(shí)間內(nèi)系統(tǒng)處于風(fēng)險(xiǎn)可接受水平。22信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息平安風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息平安提供科學(xué)依據(jù)。23風(fēng)險(xiǎn)評(píng)估的理解信息系統(tǒng)的平安風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息平安評(píng)估才能發(fā)現(xiàn)和跟蹤最新的平安風(fēng)險(xiǎn)。所以信息平安評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面平安風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和根底環(huán)節(jié)風(fēng)險(xiǎn)管理是在倡導(dǎo)適度平安24信息平安風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)評(píng)估vs風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估目標(biāo)將風(fēng)險(xiǎn)降低到可接受水平確定面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)周期包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)控制等所有階段風(fēng)險(xiǎn)管理中的單個(gè)階段計(jì)劃持續(xù)（PDCA）按需要25信息平安風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息平安風(fēng)險(xiǎn)管理指南》四個(gè)階段，兩個(gè)貫穿。--26建立背景背景建立是信息平安風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備：確定對(duì)象、組建團(tuán)隊(duì)、制定方案、獲得支持信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素信息平安分析：分析平安要求、分析平安環(huán)境27背景建立過(guò)程28風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢29風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng)。風(fēng)險(xiǎn)分析準(zhǔn)備：制定風(fēng)險(xiǎn)評(píng)估方案、選擇評(píng)估方法風(fēng)險(xiǎn)要素識(shí)別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施風(fēng)險(xiǎn)分析：判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度風(fēng)險(xiǎn)結(jié)果判定：綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí)30風(fēng)險(xiǎn)評(píng)估過(guò)程31風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢32風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)?，F(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施處理措施實(shí)施：制定具體平安方案，部署控制措施33風(fēng)險(xiǎn)處理過(guò)程

34減低風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)躲避風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)常用的四類(lèi)風(fēng)險(xiǎn)處置方法

35減低風(fēng)險(xiǎn)通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn)首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在平安投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面〔即威脅源、威脅行為、脆弱性、資產(chǎn)和影響〕來(lái)降低風(fēng)險(xiǎn)。36減低風(fēng)險(xiǎn)的具體方法減少威脅源：采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)；減低威脅能力：采取身份認(rèn)證措施，從而抵抗身份假冒這種威脅行為的能力；減少脆弱性：及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)效勞端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；37減低風(fēng)險(xiǎn)的具體方法防護(hù)資產(chǎn)：采用各種防護(hù)措施，建立資產(chǎn)的平安域，從而保證資產(chǎn)不受侵犯，其價(jià)值得到保持；降低負(fù)面影響：采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)方案等措施，從而減少平安事件造成的影響程度。38轉(zhuǎn)移風(fēng)險(xiǎn)通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更平安的地方來(lái)防止或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或防止、且被第三方〔被轉(zhuǎn)嫁方〕接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。39轉(zhuǎn)移風(fēng)險(xiǎn)的具體做法在本機(jī)構(gòu)不具備足夠的平安保障的技術(shù)能力時(shí)，將信息系統(tǒng)的技術(shù)體系〔即信息載體局部〕外包給滿足平安保障要求的第三方機(jī)構(gòu)，從而防止技術(shù)風(fēng)險(xiǎn)。通過(guò)給昂貴的設(shè)備上保險(xiǎn)，將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司，從而降低資產(chǎn)價(jià)值的損失。40躲避風(fēng)險(xiǎn)通過(guò)不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來(lái)防止風(fēng)險(xiǎn)。比方：在沒(méi)有足夠平安保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏。對(duì)于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而防止外部的有害入侵和不良攻擊。通常在風(fēng)險(xiǎn)的損失無(wú)法接受，又難以通過(guò)控制措施減低風(fēng)險(xiǎn)的情況下41接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)是選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果。用于那些在采取了降低風(fēng)險(xiǎn)和防止風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)不意味著不聞不問(wèn)，需要對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)變化進(jìn)行持續(xù)的監(jiān)控，一旦開(kāi)展為無(wú)法接受的風(fēng)險(xiǎn)就要進(jìn)一步采取措施。42風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢43批準(zhǔn)監(jiān)督是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的平安要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息平安相關(guān)的環(huán)境有無(wú)變化，監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)44批準(zhǔn)監(jiān)督過(guò)程

45風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢46監(jiān)控審查的意義監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問(wèn)題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息平安風(fēng)險(xiǎn)管理主循環(huán)的有效性。47監(jiān)控審查過(guò)程

48風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢49溝通咨詢通過(guò)暢通的交流和充分的溝通，保持行動(dòng)的協(xié)調(diào)和一致；通過(guò)有效的培訓(xùn)和方便的咨詢，保證行動(dòng)者具有足夠的知識(shí)和技能，就是溝通咨詢的意義所在風(fēng)險(xiǎn)管理與領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn)。單位內(nèi)部各有關(guān)部門(mén)相互溝通，以得到理解和協(xié)作。與支持單位和系統(tǒng)用戶溝通，以得到了解和支持。為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識(shí)、知識(shí)和技能50溝通咨詢過(guò)程

51知識(shí)域：風(fēng)險(xiǎn)管理工作內(nèi)容知識(shí)子域：系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作52何時(shí)作風(fēng)險(xiǎn)管理信息平安風(fēng)險(xiǎn)管理是信息平安保障工作中的一項(xiàng)根底性工作是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄53明確信息系統(tǒng)平安建設(shè)的目的,對(duì)信息系統(tǒng)平安建設(shè)實(shí)現(xiàn)的可能性進(jìn)行分析論證并設(shè)計(jì)出總體平安規(guī)劃方案。為了保證平安目標(biāo)的實(shí)現(xiàn)，需要對(duì)信息系統(tǒng)規(guī)劃階段中可能引入平安風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)管理，從而降低在工程后期處理相同平安風(fēng)險(xiǎn)所帶來(lái)的高額本錢(qián)。規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)規(guī)劃階段的信息平安風(fēng)險(xiǎn)管理目標(biāo)54序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理過(guò)程1明確安全總體方針背景建立2安全需求分析背景建立4風(fēng)險(xiǎn)評(píng)估準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)評(píng)估5安全實(shí)現(xiàn)論證分析風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階段的信息平安風(fēng)險(xiǎn)管理55依據(jù)規(guī)劃階段輸出的總體平安規(guī)劃方案來(lái)設(shè)計(jì)信息系統(tǒng)平安的實(shí)現(xiàn)結(jié)構(gòu)〔包括功能劃分、接口協(xié)議和性能指標(biāo)等〕和實(shí)施方案〔包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等〕。在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時(shí)，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入平安風(fēng)險(xiǎn)，因此對(duì)關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的平安要求并有針對(duì)性地進(jìn)行平安風(fēng)險(xiǎn)管理。規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄風(fēng)險(xiǎn)管理的目標(biāo)56信息系統(tǒng)設(shè)計(jì)階段的信息平安風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理過(guò)程1設(shè)計(jì)方案分析論證背景建立、風(fēng)險(xiǎn)評(píng)估2安全技術(shù)選擇風(fēng)險(xiǎn)處理3安全產(chǎn)品選擇風(fēng)險(xiǎn)處理4自開(kāi)發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理57按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)平安實(shí)施方案采購(gòu)設(shè)備和軟件，開(kāi)發(fā)定制功能集成、部署、配置和測(cè)試信息系統(tǒng)的平安機(jī)制培訓(xùn)人員對(duì)是否允許系統(tǒng)投入運(yùn)行進(jìn)行批準(zhǔn)監(jiān)督。規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄風(fēng)險(xiǎn)管理的目標(biāo)58信息系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理過(guò)程1安全測(cè)試風(fēng)險(xiǎn)評(píng)估2檢查與配置風(fēng)險(xiǎn)處理3人員培訓(xùn)風(fēng)險(xiǎn)處理4授權(quán)系統(tǒng)運(yùn)行批準(zhǔn)監(jiān)督59在信息系統(tǒng)經(jīng)過(guò)授權(quán)投入運(yùn)行之后，確保在運(yùn)行過(guò)程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí)維持系統(tǒng)的正常運(yùn)行和平安性。規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄風(fēng)險(xiǎn)管理的目標(biāo)60信息系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理過(guò)程1安全運(yùn)行和管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理2變更管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理3風(fēng)險(xiǎn)再評(píng)估風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理4定期重新審批批準(zhǔn)監(jiān)督61確保對(duì)信息系統(tǒng)的過(guò)時(shí)或無(wú)用局部進(jìn)行平安報(bào)廢處理，防止信息系統(tǒng)的平安要求和平安功能遭到破壞。規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄風(fēng)險(xiǎn)管理的目標(biāo)62信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理過(guò)程1確定廢棄對(duì)象背景建立2廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估3廢棄過(guò)程的風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理4廢棄后的評(píng)審批準(zhǔn)監(jiān)督63知識(shí)域：信息平安風(fēng)險(xiǎn)評(píng)估實(shí)踐知識(shí)子域：風(fēng)險(xiǎn)評(píng)估流程和方法掌握國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求理解風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系掌握風(fēng)險(xiǎn)評(píng)估的實(shí)施流程：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅評(píng)估、脆弱性評(píng)估、已有平安措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估文檔記錄理解定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析的區(qū)別及優(yōu)缺點(diǎn)理解自評(píng)估和檢查評(píng)估的區(qū)別及優(yōu)缺點(diǎn)掌握典型風(fēng)險(xiǎn)計(jì)算方法：年度損失值〔ALE〕、矩陣法、相乘法掌握風(fēng)險(xiǎn)評(píng)估工具：風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具64國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求1、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)》〔中辦發(fā)[2003]27號(hào)〕中明確提出：“要重視信息平安風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)平安的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息平安風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的平安建設(shè)和管理”

65國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求2、《國(guó)家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組〈關(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)〉》〔國(guó)信辦【2006】5號(hào)文〕中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求：風(fēng)險(xiǎn)評(píng)估的根本內(nèi)容和原那么風(fēng)險(xiǎn)評(píng)估工作的根本要求開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排66《關(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求

1、信息平安風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過(guò)信息平安風(fēng)險(xiǎn)評(píng)估工作，可以明確信息系統(tǒng)的平安需求及其平安目標(biāo)，有針對(duì)性地制定和部署平安措施，從而防止產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。2、在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)，通過(guò)風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的平安功能，是否滿足了信息系統(tǒng)的平安需求并到達(dá)預(yù)期的平安目標(biāo)?！蛾P(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求

3、由于信息技術(shù)的開(kāi)展、信息系統(tǒng)業(yè)務(wù)以及所處平安環(huán)境的變化，會(huì)不斷出現(xiàn)新的信息平安風(fēng)險(xiǎn)，因此，在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)定期進(jìn)行信息平安風(fēng)險(xiǎn)評(píng)估，以檢驗(yàn)平安措施的有效性以及對(duì)平安環(huán)境的適應(yīng)性。當(dāng)平安形勢(shì)發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)，應(yīng)及時(shí)進(jìn)行信息平安風(fēng)險(xiǎn)評(píng)估。4、信息平安風(fēng)險(xiǎn)評(píng)估也是落實(shí)等級(jí)保護(hù)制度的重要手段，應(yīng)通過(guò)信息平安風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定平安等級(jí)提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求?！蛾P(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求

1、信息平安風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng)，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險(xiǎn)，《意見(jiàn)》強(qiáng)調(diào)，必須高度重視信息平安風(fēng)險(xiǎn)評(píng)估的組織管理工作2、為躲避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的平安風(fēng)險(xiǎn)，《意見(jiàn)》提出以下要求：1〕參與信息平安風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息平安的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2〕風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3〕對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息平安風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行?！蛾P(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求

3、加快制定和完善信息平安風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并公布《信息平安風(fēng)險(xiǎn)評(píng)估指南》和《信息平安風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn)，各行業(yè)主管部門(mén)也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)。4、要加強(qiáng)信息平安風(fēng)險(xiǎn)評(píng)估核心技術(shù)、方法和工具的研究與攻關(guān)。5、要從抓試點(diǎn)開(kāi)始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)，用三年左右的時(shí)間在我國(guó)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息平安風(fēng)險(xiǎn)評(píng)估工作，全面提高我國(guó)信息平安的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)平安保障能力，為保障和促進(jìn)我國(guó)信息化開(kāi)展效勞。712071號(hào)文件對(duì)電子政務(wù)提出要求3、為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)工程管理暫行方法》〔發(fā)改委[2007]55號(hào)令〕對(duì)風(fēng)險(xiǎn)評(píng)估的要求，發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)工程信息平安風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求：〔相當(dāng)于“信息平安審計(jì)”〕電子政務(wù)工程建設(shè)工程應(yīng)開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作評(píng)估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的平安措施和剩余風(fēng)險(xiǎn)的影響等工程建設(shè)單位應(yīng)在試運(yùn)行期間開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，作為工程驗(yàn)收的重要依據(jù)工程驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息平安風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)投入運(yùn)行后，應(yīng)定期開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估72風(fēng)險(xiǎn)評(píng)估工作承擔(dān)單位國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心涉密系統(tǒng)非涉密系統(tǒng)中國(guó)信息安全測(cè)評(píng)中心國(guó)家信息技術(shù)安全研究中心公安部信息安全等級(jí)保護(hù)中心風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)隊(duì)伍73需要強(qiáng)調(diào)：一次測(cè)評(píng)兩個(gè)報(bào)告發(fā)改委要求：一次測(cè)評(píng)工作，提交兩個(gè)測(cè)評(píng)報(bào)告，即風(fēng)險(xiǎn)評(píng)估報(bào)告和等保測(cè)評(píng)報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告的格式由中國(guó)信息平安測(cè)評(píng)中心和國(guó)家信息技術(shù)平安研究中心牽頭制定，根本格式參照原國(guó)信辦檢查評(píng)估的報(bào)告等保測(cè)評(píng)報(bào)告的格式由等級(jí)保護(hù)的主管部門(mén)負(fù)責(zé)制定風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系等保測(cè)評(píng)、平安檢查都是在既定平安基線的根底上開(kāi)展的符合性測(cè)評(píng)，其中等保測(cè)評(píng)是符合國(guó)家平安要求的測(cè)評(píng)，平安檢查是符合行業(yè)主管平安要求的符合性測(cè)評(píng)。而風(fēng)險(xiǎn)評(píng)估是在國(guó)家、行業(yè)平安要求的根底上，以被評(píng)估系統(tǒng)特定平安要求為目標(biāo)而開(kāi)展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。74風(fēng)險(xiǎn)評(píng)估實(shí)施流程75風(fēng)險(xiǎn)評(píng)估是“健康體檢+專(zhuān)項(xiàng)檢查”76資產(chǎn)威脅脆弱性現(xiàn)有控制措施人病毒身體情況預(yù)防措施風(fēng)險(xiǎn)評(píng)估健康體檢風(fēng)險(xiǎn)優(yōu)先級(jí)和風(fēng)險(xiǎn)控制建議病情診斷和藥方

準(zhǔn)備識(shí)別計(jì)算

報(bào)告一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備〔Readiness〕、識(shí)別〔Realization〕、計(jì)算〔Calculation〕、報(bào)告〔Report〕識(shí)別資產(chǎn)威脅漏洞

準(zhǔn)備資料審核

SLA

工作計(jì)劃組隊(duì)計(jì)算威脅概率事件影響風(fēng)險(xiǎn)定級(jí)

報(bào)告整改建議各類(lèi)文檔

77

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作準(zhǔn)備工作中要注意的問(wèn)題相親：前期交流〔成功案例簡(jiǎn)介、測(cè)評(píng)機(jī)構(gòu)資質(zhì)簡(jiǎn)介、被測(cè)系統(tǒng)大致規(guī)模、測(cè)評(píng)效勞費(fèi)用測(cè)算…〕訂婚：效勞水平協(xié)議SLA〔獲取詳細(xì)資料的前提，對(duì)方的授權(quán)、雙方的義務(wù)，可和保密協(xié)議整合…〕甲方禮單：資料審核〔明確系統(tǒng)范圍、為現(xiàn)場(chǎng)測(cè)評(píng)制訂問(wèn)卷清單…〕乙方禮單：工作方案〔案例分析綜合組、管理組、網(wǎng)絡(luò)組…〕迎親：進(jìn)場(chǎng)準(zhǔn)備〔進(jìn)場(chǎng)通知，如對(duì)方或第三方人員；設(shè)備準(zhǔn)備，如工具等，標(biāo)識(shí)佩戴…〕78現(xiàn)場(chǎng)測(cè)評(píng)79現(xiàn)場(chǎng)測(cè)評(píng)工作要注意的問(wèn)題首次會(huì)議〔必須〕，聽(tīng)取對(duì)方高管的情況簡(jiǎn)介，向被測(cè)單位有關(guān)人員說(shuō)明此次任務(wù)、測(cè)評(píng)方案介紹、雙方測(cè)評(píng)人員的相互認(rèn)識(shí)…問(wèn)詢技巧〔直接提問(wèn)，如業(yè)務(wù)重要性；間接提問(wèn)，如平安事件；反向提問(wèn)，適合于所有方面〕資料核對(duì)〔拓?fù)浜藢?duì)，管理體系文檔，設(shè)計(jì)文檔，設(shè)備臺(tái)賬…〕現(xiàn)場(chǎng)檢測(cè)〔測(cè)試過(guò)程記錄、抓屏、數(shù)據(jù)提取…〕末次會(huì)議〔必須〕，向?qū)Ψ礁吖芎?jiǎn)要總結(jié)現(xiàn)場(chǎng)測(cè)評(píng)的初步結(jié)論，但切忌做最終結(jié)論80

資產(chǎn)識(shí)別資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用？?jī)牲c(diǎn)：是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn)資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么？一線：業(yè)務(wù)戰(zhàn)略→信息化戰(zhàn)略→系統(tǒng)特征〔管理/技術(shù)〕資產(chǎn)識(shí)別的方法有哪些？資產(chǎn)分類(lèi)：樹(shù)狀法。自然形態(tài)分類(lèi)〔勾畫(huà)資產(chǎn)樹(shù)：管理、技術(shù)…逐步往下細(xì)化〕；信息形態(tài)分類(lèi)〔信息環(huán)境、信息載體、信息〕81按信息形態(tài)分類(lèi)資產(chǎn)識(shí)別8283

威脅識(shí)別威脅識(shí)別與資產(chǎn)識(shí)別是何關(guān)系？點(diǎn)和面：重點(diǎn)識(shí)別和全面識(shí)別威脅識(shí)別的重點(diǎn)和難點(diǎn)是什么？三問(wèn)：“敵人”在哪兒？效果如何？如何取證？威脅識(shí)別的方法有哪些？日志分析歷史平安事件專(zhuān)家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息檢索威脅分類(lèi)分為：人為成心威脅威脅意圖評(píng)估、威脅能力評(píng)估、操作限制評(píng)估、威脅源特點(diǎn)評(píng)估人為非成心威脅判定威脅源、評(píng)估威脅源特點(diǎn)、評(píng)估威脅源環(huán)境、評(píng)估事故發(fā)生時(shí)間自然威脅地震、海嘯、洪水。8485

脆弱性識(shí)別脆弱性識(shí)別的難點(diǎn)是什么？三性：隱蔽性、欺騙性、復(fù)雜性脆弱性識(shí)別的方法有哪些？脆弱性分類(lèi)：管理脆弱性。結(jié)構(gòu)脆弱性〔如平安域劃分不當(dāng)〕，操作脆弱性〔如平安審計(jì)員業(yè)務(wù)生疏〕；技術(shù)脆弱性。脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證脆弱性識(shí)別內(nèi)容86常見(jiàn)脆弱性識(shí)別工作方式87脆弱性識(shí)別方式工作對(duì)象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機(jī)、應(yīng)用程序滲透測(cè)試系統(tǒng)各個(gè)層面安全架構(gòu)分析系統(tǒng)各個(gè)層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開(kāi)發(fā)、運(yùn)維技術(shù)人員。?！，F(xiàn)有平安控制措施識(shí)別考慮：防護(hù)性措施威懾性措施預(yù)警性措施檢測(cè)性措施應(yīng)急處理性措施88〔二〕風(fēng)險(xiǎn)分析GB/T20984-2007《信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)》給出信息平安風(fēng)險(xiǎn)分析思路

89風(fēng)險(xiǎn)值=R〔A，T，V〕=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示平安事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件的可能性；F表示平安事件發(fā)生后造成的損失。方法優(yōu)點(diǎn)缺點(diǎn)定性簡(jiǎn)易的計(jì)算方式不必精確算出資產(chǎn)價(jià)值不需得到量化的威脅發(fā)生率非技術(shù)或非安全背景的員工也能輕易參與流程和報(bào)告形式比較有彈性本質(zhì)上是非常主觀的對(duì)關(guān)鍵資產(chǎn)的財(cái)務(wù)價(jià)值評(píng)估參考性較低缺乏對(duì)風(fēng)險(xiǎn)降低的成本分析

定量1.結(jié)果建立在獨(dú)立客觀的程序或量化指標(biāo)上大部分的工作集中在制定資產(chǎn)價(jià)值和減緩可能風(fēng)險(xiǎn)主要目的是做成本效益的審核風(fēng)險(xiǎn)計(jì)算方法復(fù)雜需要自動(dòng)化工具及相當(dāng)?shù)幕A(chǔ)知識(shí)投入大個(gè)人難以執(zhí)行定量分析與定性分析90定量分析方法步驟1-評(píng)估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值〔AV〕清單,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對(duì)財(cái)務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額。SLE是分配給單個(gè)事件的金額，代表一個(gè)具體威脅利用漏洞時(shí)將面臨的潛在損失?！睸LE類(lèi)似于定性風(fēng)險(xiǎn)分析的影響?！硨①Y產(chǎn)價(jià)值與暴露系數(shù)相乘(EF)計(jì)算出SLE。暴露系數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比。步驟3-確定年發(fā)生率AROARO是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù).91定量分析方法〔續(xù)〕步驟4-確定年預(yù)期損失ALEALE是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。SLE乘以ARO即可計(jì)算出該值。ALE類(lèi)似于定量風(fēng)險(xiǎn)分析的相對(duì)級(jí)別。步驟5-確定控制本錢(qián)控制本錢(qián)就是為了躲避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用.步驟6-平安投資收益ROSI(實(shí)施控制前的ALE〕–〔實(shí)施控制后的ALE〕–〔年控制本錢(qián)〕=ROSI92后果或影響的定性量度〔例如〕等級(jí)描述

詳細(xì)情形1可以忽略無(wú)傷害，低財(cái)務(wù)損失2

較小立即受控制，中等財(cái)務(wù)損失3

中等

受控，高財(cái)務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失定性分析方法93可能性的定性量度〔例如〕等級(jí)描述

詳細(xì)情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見(jiàn)僅在例外的情況下可能發(fā)生定性分析方法94風(fēng)險(xiǎn)分析矩陣—風(fēng)險(xiǎn)程度

可能性

后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見(jiàn)）LLMHHE：極度風(fēng)險(xiǎn)H：高風(fēng)險(xiǎn)M：中等風(fēng)險(xiǎn)L:低風(fēng)險(xiǎn)定性分析方法95定性分析方法-矩陣法根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)那么判定風(fēng)險(xiǎn)結(jié)果。依此類(lèi)推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。96定性分析方法-相乘法〔1〕計(jì)算平安事件發(fā)生可能性 威脅發(fā)生頻率：威脅T1=1； 脆弱性嚴(yán)重程度：脆弱性V1=3。 平安事件發(fā)生可能性=〔2〕計(jì)算平安事件的損失 資產(chǎn)價(jià)值：資產(chǎn)A1=4； 脆弱性嚴(yán)重程度：脆弱性V1=3。 計(jì)算平安事件的損失，平安事件損失=〔3〕計(jì)算風(fēng)險(xiǎn)值 平安事件發(fā)生可能性=2； 平安事件損失=3。 平安事件風(fēng)險(xiǎn)值=〔4〕確定風(fēng)險(xiǎn)等級(jí)97定性分析與定量分析98方法優(yōu)點(diǎn)缺點(diǎn)定量按經(jīng)濟(jì)影響排列風(fēng)險(xiǎn)優(yōu)先級(jí)；按經(jīng)濟(jì)價(jià)值排列資產(chǎn)價(jià)值風(fēng)險(xiǎn)管理的效果以投資回報(bào)率衡量結(jié)果可用因管理而異的術(shù)語(yǔ)來(lái)表達(dá)（例如貨幣值和表達(dá)為具體百分比隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高–風(fēng)險(xiǎn)影響值以參與者的主觀意見(jiàn)為基礎(chǔ)–取得風(fēng)險(xiǎn)一致意見(jiàn)的過(guò)程非常耗時(shí)。–計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)。–風(fēng)險(xiǎn)結(jié)果以財(cái)務(wù)術(shù)語(yǔ)表達(dá)，對(duì)非技術(shù)性人員而言可能難以解釋。–流程要求專(zhuān)業(yè)技術(shù)，因此參與者無(wú)法輕松通過(guò)流程獲得指導(dǎo)。

定性–風(fēng)險(xiǎn)排名具有可見(jiàn)性，易于理解。–更容易達(dá)成一致意見(jiàn)。–無(wú)需量化威脅發(fā)生頻率。–無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值。–更便于不是安全或計(jì)算機(jī)專(zhuān)家的人員參與。–重要風(fēng)險(xiǎn)之間沒(méi)有顯著區(qū)別。–因?yàn)闆](méi)有成本效益分析，很難證明控制措施的投資是合理的。–結(jié)果取決于風(fēng)險(xiǎn)管理小組人員的主觀判斷。〔三〕風(fēng)險(xiǎn)評(píng)估工作形式信息平安風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。99

風(fēng)險(xiǎn)評(píng)估的工作形式—自評(píng)估由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估效勞技術(shù)支持方實(shí)施。優(yōu)點(diǎn)：有利于保密有利于發(fā)揮行業(yè)和部門(mén)內(nèi)的人員的業(yè)務(wù)特長(zhǎng)有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息平安知識(shí)缺點(diǎn)可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評(píng)估結(jié)果的客觀性易受影響。建議方法委托風(fēng)險(xiǎn)評(píng)估效勞技術(shù)支持方實(shí)施的評(píng)估，過(guò)程比較標(biāo)準(zhǔn)、評(píng)估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)被評(píng)估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背景與資質(zhì)、評(píng)估過(guò)程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。100風(fēng)險(xiǎn)評(píng)估的工作形式—檢查評(píng)估檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門(mén)組織的或國(guó)家有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估。優(yōu)點(diǎn)：最具權(quán)威性。通過(guò)行政手段加強(qiáng)信息平安的重要措施。缺點(diǎn)：間隔時(shí)間較長(zhǎng)，一般是抽樣進(jìn)行，難于貫穿信息系統(tǒng)的生命周期。101〔四〕風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估與管理工具一套集成了風(fēng)險(xiǎn)評(píng)估各類(lèi)知識(shí)和判據(jù)的管理信息系統(tǒng)，以標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專(zhuān)家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析。系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件〔如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等〕的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓?。風(fēng)險(xiǎn)評(píng)估輔助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。102知識(shí)域：信息平安風(fēng)險(xiǎn)評(píng)估實(shí)踐知識(shí)子域：風(fēng)險(xiǎn)分析實(shí)例了解典型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程103評(píng)估依據(jù)國(guó)家標(biāo)準(zhǔn)標(biāo)準(zhǔn)XX行業(yè)平安要求GB/T20274-2006信息系統(tǒng)平安保障評(píng)估框架GB/T20984-2007信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù)平安性評(píng)估準(zhǔn)那么xx系統(tǒng)網(wǎng)絡(luò)與