資源描述:
《信息安全風險評估規(guī)范》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、信息安全風險評估規(guī)范 篇一:信息安全風險評估方法 從最開始接觸風險評估理論到現(xiàn)在��,已經(jīng)有將近5個年頭了�����,從最開始的膜拜捧為必殺技��,然后是有一陣子懷疑甚至預(yù)棄之不用,到現(xiàn)在重拾之����,尊之為做好安全的必備法寶,這么一段起起伏伏的心理歷程��。對風險的方法在一步步的加深�,本文從風險評估工作最突出的問題:如何得到一致的、可比較的��、可重復(fù)的風險評估結(jié)果����,來加以分析討論?���! ?.風險評估的現(xiàn)狀 風險理論也逐漸被廣大信息安全專業(yè)人士所熟知,以風險驅(qū)動的方法去管理信息安全已經(jīng)被大部分人所共知和接受�����,這幾年國內(nèi)等級保護的如火如荼的開展���,風險評估工作是水漲船高,加之國內(nèi)信息安全咨詢和服務(wù)廠商和機構(gòu)不遺余力的
2�����、推動,風險評估實踐也在不斷的深入���。當前的風險評估的方法主要參照兩個標準�,一個是國際標準《ISO13335信息安全風險管理指南》和國內(nèi)標準《GB/T20984-XX信息安全風險評估規(guī)范》�����,其本質(zhì)上就是以信息資產(chǎn)為對象的定性的風險評估�。基本方法是識別并評價組織/企業(yè)內(nèi)部所要關(guān)注的信息系統(tǒng)�、數(shù)據(jù)、人員�����、服務(wù)等保護對象���,在參照當前流行的國際國內(nèi)標準如ISO27002,COBIT��,信息系統(tǒng)等級保護���,識別出這些保護對象面臨的威脅以及自身所存在的能被威脅利用的弱點���,最后從可能性和影響程度這兩個方面來評價信息資產(chǎn)的風險,綜合后得到企業(yè)所面臨的信息安全風險�����。這是大多數(shù)組織在做風險評估時使用的方法����。當然也有
3、少數(shù)的組織/企業(yè)開始在資產(chǎn)風險評估的基礎(chǔ)上���,在實踐中摸索和開發(fā)出類似與流程風險評估等方法�,補充完善了資產(chǎn)風險評估�。 2.風險評估的突出問題 信息安全領(lǐng)域的風險評估甚至風險管理的方法是借鑒了銀行業(yè)成熟的風險管理方法�����,銀行業(yè)業(yè)務(wù)風險管理的方法已經(jīng)發(fā)展到相當成熟的地步�����,并且銀行業(yè)也有非常豐富的基礎(chǔ)數(shù)據(jù)支撐著風險分析方法的運用���。但是�,風險評估作為信息安全領(lǐng)域的新生事物���,或者說舶來之物�,盡管信息安全本身在國內(nèi)開展也不過是10來年�����,風險評估作為先進思想也存在著類似“馬列主義要與中國的實際國情結(jié)合走中國特色社會主義道路”的問題�。風險評估的定量評估方法缺少必要的土壤,沒有基礎(chǔ)的�、統(tǒng)計數(shù)據(jù)做支撐,定量
4����、風險評估寸步難移;而定性的風險評估其方法的本質(zhì)是定性,所謂定性���,則意味著估計�����、大概�,不準確,其本質(zhì)的缺陷給實踐帶來無窮的問題�,重要問題之一就是投資回報問題,由于不能從財務(wù)的角度去評價一個/組風險所帶來的可能損失����,因此,也就沒有辦法得到投資回報率����,盡管這是個問題,但是實踐當中���,一般大的企業(yè)都會有個基本的年度預(yù)算�����,IT/安全占企業(yè)年度預(yù)算的百分之多少����,然后就是反正就這么些錢��,按照風險從高到低或者再結(jié)合其他比如企業(yè)現(xiàn)有管理和技術(shù)水平�,項目實施的難易度等情況綜合考慮得到風險處理優(yōu)先級��,從高到低依次排序,錢到哪花完�����,風險處理今年就處理到哪����。這方法到也比較具有實際價值,操作起來也容易�,預(yù)算多的企業(yè)也
5、不怕錢花不完�����,預(yù)算少的企業(yè)也有其對付辦法���,你領(lǐng)導(dǎo)就給這么些錢����,哪些不能處理的風險反正我已經(jīng)告訴你啦����,要是萬一出了事情你也怪不得我���,沒有出事情,等明年有錢了再接著處理�����?����! ∵@也不算難的�����,最難最突出的是那些不僅僅做個一次風險評估的企業(yè)����,出問題了,幾次風險評估的結(jié)果不具有可比性���,有時甚至還出現(xiàn)矛盾的地方�����,比方說����,某個部門去年是某 個崗位的上一任做的,今年是另一位做的���,評估結(jié)果不能反映去年到今年做的工作改善了企業(yè)所面臨的信息安全風險狀況,甚至細致到某個風險上;更有甚者�����,比如上次對于某個重要系統(tǒng)��,由于沒有必要的操作規(guī)程而導(dǎo)致誤操作而影響系統(tǒng)安全的風險�,采取、規(guī)范了操作流程并且培訓(xùn)了相關(guān)操作人員等
6���、控制措施�,按理說這個風險已經(jīng)是得到必要的控制����,風險降低了,但是偏偏評估的結(jié)果不降反升了����。這個問題��,歸納為一句就是:風險評估如何得到一個一致的��、可比較的���、可重復(fù)的評估結(jié)果���。 3.對策 針對定性風險評估這個突出問題�,在解決這個問題之前,我們先有必要清晰的界定這個問題�。有人可能會問,我們企業(yè)在風險評估結(jié)果中���,某項風險為100的風險是不是意味著很大呢����?或者問我們企業(yè)風險評估結(jié)果某項風險值為30的風險是不是比其他企業(yè)同類型風險其風險值為100的風險小呢�����?答案是:都不是。定性風險評估的風險值僅僅是個相對值�,其數(shù)值本身的大小不具有意義,其值只在整個風險參照體系中才具有相對(高/低)價值�����。企業(yè)與企業(yè)
7�����、之間的安全風險對比���,只有在使用同一風險評估方法(包括風險計算方法一致,定性尺度一致)�����,最好是相同行業(yè)并且業(yè)務(wù)相似的情況下�,才具有橫向可比性。在同一企業(yè)內(nèi)部�����,風險評估結(jié)果要在不同部門橫向比較�,在同一部門縱向比較,那么,則也必須在同一風險評估方法(包括風險計算方法一致���,定性尺度一致)下才具有可比性�����?�! 《ㄐ燥L險評估其實踐操作中�,主要依靠評估者的個人經(jīng)驗和判斷����,具有很強的主觀特性,那我們的問題就變成了:在同一風險評估方法下���,如何盡可能的剔
