风险评估与管理

V1.0 1 机密 此 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 仅供客户内部使用。未经诺恒管理公司的书面许可，其它任何机 构不得擅自传阅、引用或复制。 此培训 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 仅供客户内部使用。未经诺恒管理的书面许可，其它任何机 构不得擅自传阅、引用或复制。 ISO27001认证咨询项目 信息安全风险评估与管理 二○一一年五月 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 2 培训内容  风险评估与管理相关概念  风险评估的基本程序与方法  风险管理的基本程序 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 3 什么是信息安全风险? 信息安全风险即指：  威胁利用脆弱性造成某一信息资产或某一组信息资 产丢失或损坏的可能性  这样的风险可能波及整个组织 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 4 什么是风险? 资产 威胁 脆弱性 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 5 什么是信息安全风险? 手提电脑 体积小、轻 公共场所偷盗 资产丢失 风险 有价值的 资产 资产本身的 脆弱性 存在的威胁 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 6 资产 资产 — 任何对组织有价值的东西 办公室设备 人 软件 哪些是资产？请大家思考并举例  电子信息  纸面文档  硬件设备  软件  服务  人 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 7 威胁 导致发生某一非期望事件的可能性,此类事件的发生可能 对某一系统或组织造成损害 自然的威胁 人为的威胁 意外产生的威胁 请思考并举例说明自然\人为\意外的威胁 地震、雷电、暴雨、偷盗、故意破坏、火灾 、操作失误、设备故障 非法使用软件 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 8 脆弱性 某一项或一组资产的弱点、薄弱性，并容易被威胁 所利用 脆弱性本身不会引起损害，只是一种条件或一组条 件，在这些条件下，被威胁利用后对组织资产造成 损害 请大家思考，纸面文件有哪些脆弱性可能因为威胁 而对资产产生损害？ 轻 ——偷盗 吸水性好—— 潮湿天气 易燃烧—火灾 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 9 风险评估的含义 Y轴： 威胁程度 Z轴： 资产价值 X轴： 薄弱环节 所谓风险评估? 资产价值 X 威胁程度 X 脆弱性大小 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 10 风险管理的含义 以合理的成本、采取合理的安全控制措施将风险控制 在可以接受的水平内，达成控制措施与风险之间的平衡。 降低威胁程度: -- 如: 建立确保人员可 信任的控制措施及 机制 补强脆弱性: -- 如: 系统补丁 减少资产价值 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 11 风险评估基本程序 根据业界最佳实践指南,详细的风险评估主要包括以下活动: 信息资产分类及识别 重要性评估 威胁评估 脆弱性评估 现有措施 风险评估 选择控制措施 识别评审各种制约 情况 接受风险 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 12 资产分类 业务过程 信息 人 服务 ICT 厂房 应用系统 资产分类 资产分类 公司形象 人员 信息/信息系统 过程 产品/服务 应用 ICT 厂房 资产清单 V1.0 13 各个支撑系统资产描述 诺恒管理 针对所识别的各个系统类别，应详细描述以下信息 数据 存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、报告、用户 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 等 软件 系统软件：操作系统、语言包、工具软件、各种库等 应用软件：外部购买的应用软件，外包开发的应用软件等 源程序：各种共享源代码、可执行程序、自行或合作开发的各种程序等 硬件 网络设备：路由器、网关、交换机等 计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等 存储设备：磁带机、磁盘阵列等 移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等 传输线路：光纤、双绞线等 保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、 消防设施等 安全保障设备：防火墙、入侵检测系统、身份验证等 其他电子设备：打印机、复印机、扫描仪、传真机等 服务 办公服务：为提高效率而开发的管理信息系统（MIS），它包括各种内部配置管 理、文件流转管理等服务 网络服务：各种网络设备、设施提供的网络连接服务 分包服务: 由外部电脑为提供的服务 文档 纸质的各种文件、传真、电报、财务报告、发展计划等 人员 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理及网络研发人员等 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 14 国家信息安全风险评估 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 指南赋值方法 诺恒管理 赋值 标识 定义 5 极高 包含组织最重要的秘密，关系未来发展的前途命运，对 组织根本利益有着决定性影响，如果泄漏会造成灾难性 的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭 受严重损害 3 中等 包含组织的一般性秘密，其泄露会使组织的安全和利益 受到损害 2 低 包含仅能在组织内部或在组织某一部门内部公开的信 息，向外扩散有可能对组织的利益造成损害 1 可忽略 包含可对社会公开的信息，公用的信息处理设备和系统 资源等 资产保密性赋值 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 15 国家信息安全风险评估标准指南赋值方法 诺恒管理 赋值 标识 定义 5 极高 完整性价值非常关键，未经授权的修改或破坏会对组织造 成重大的或无法接受的影响，对业务冲击重大，并可能造 成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重 大影响，对业务冲击严重，比较难以弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影 响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻 微影响，可以忍受，对业务冲击轻微，容易弥补 1 可忽略 完整性价值非常低，未经授权的修改或破坏对组织造成的 影响可以忽略，对业务冲击可以忽略 资产完整性赋值 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 16 国家信息安全风险评估标准指南赋值方法 诺恒管理 资产可用性赋值 赋值 标识 定义 5 极高 可用性价值非常高，合法使用者对信息及信息系统的可用 度达到年度99.9%以上 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度 达到每天90%以上 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度 在正常工作时间达到70%以上 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度 在正常工作时间达到25%以上 1 可忽略 可用性价值可以忽略，合法使用者对信息及信息系统的可 用度在正常工作时间低于25% 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 17 威胁识别 威胁是来自外界的，针对不同资产，威胁可能不同：  根据公司环境、ISO27001标准要求，针对信息资产，识别威胁  建立威胁脆弱性矩阵表  可参考ISO/TR13335-3标准的参考威胁列表 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 18 通常识别威胁的方法 针对所评价的资产，从以下几个方面考虑：  自然的威胁  人为的威胁  意外事件 洪水、台风、灰尘 破坏电缆、偷盗 爆炸、停电 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 19 威胁举例 与物理安全有关的威胁 •爆炸、洪水、暴雨、地震、环境污染、雷电、火灾 •偷盗、人为破坏 与计算机及网络管理有关 •空调系统故障、通信干扰、设备维护出错、信息传递错误 •非授权访问、误用资源、操作人员操作错误、停电 与法律法规符合性有关 •使用非法软件、提供非法软件、非授权使用网络设施 •窃听、公开个人隐私记录 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 20 脆弱性 脆弱性存在于：  物理环境  组织与人员  程序  内部管理  硬件、软件或通信设备 脆弱性存只有在被威胁利用后才能造成风险，脆弱性本身并不是风险 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 21 脆弱性识别方法 针对所评价的资产以及所识别的威胁，考虑：  资产本身的薄弱环节（会被哪些威胁利用）  可根据ISO27001控制措施来推断相关的薄弱环节  根据威胁来推断薄弱环节（可能利用哪些薄弱环节）  参考已有的威胁脆弱性矩阵数据库 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 22 脆弱性举例 环境与基础设施的脆弱性 •建筑物物理环境未保护、区域位置易被水淹、办公区域进出未控制 硬件设备 •设备对电压敏感、缺乏定期的设备更新计划、设备对温度变化敏感 电脑与网络管理 • 缺乏文件化管理要求 •访问权限分配错误 •与公共网络的连接未受保护 •错误分配访问权限 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 23 威胁与脆弱性对照举例 诺恒管理 威胁 -- 火灾，可利用的脆弱性： 建筑物物理环境未进行保护、设备对温度变化敏感 威胁 -- 无意暴露敏感信息，可利用的脆弱性： 媒介报废未控制、敏感信息未分级、未对分包方明确安全要求 威胁 -- 篡改数据，可利用的脆弱性： 错误分类访问权限、网络管理不充分、与公共网络的连接未进 行控制 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 24 现有控制措施识别 针对资产、识别的威胁和脆弱性，检查  是否已经采取降低威胁的控制措施？（雷电 –避雷设施）  是否已经采取加强脆弱性薄弱环节的控制措施  是否已经采取减少资产价值的控制措施 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 25 通常在识别控制措施时应考虑: 是否是针对威胁的？ 还是针对脆弱性的？ 或是针对资产本身的？ 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 26 风险大小计算方法方法 风险大小可通过以下公式计算： 发生可能性 X 资产重要性程度 = 风险影响程度 风险的计算公式有多种，没有一个统一的标准。 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 27 风险评价方法 – 评价风险发生可能性 风险发生的可能性（L） 评分 完全可能发生 5 相当可能 4 可能，但不经常 3 可能性小，完全意外 2 很不可能，但可以设想 1 评价风险发生可能性时，应考虑目前已经采取的控制措施 针对所描述的风险，评价发生风险的可能性： 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 28 风险级别 按照风险大小计算方法，对风险确定级别： 风险级别（R） 分值 低 20以下 中低 20 – 40 中 40 – 60 中高 60 – 80 高 80 - 100 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 29 风险处理优先排序 风险排序的目的：  通过风险排序，全面了解公司所面临各类的风险的大小  根据事先设订的风险优先排序准则，确定是否考虑控制措施 时代伟邦管理咨询 TIMEWINBOND.COM V1.0 30 风险管理的基本程序 诺恒管理 识别控制 措施 确定 控制措施 风险评估 执行控制 措施 风险管理 风险定期 评估