信息安全风险管理概要

信息安全风险管理概要 Information Security Risk Management Information Security Management Guidance ISMG-001 张耀疆 CISSP，BS7799LA，CISA 上海安言信息技术有限公司 邮箱：colababy@aryasec.com 网址：www.aryasec.com MSN：zhangyaojiang@hotmail.com V1.0 © 2004 Aryasec Ltd. All rights reserved. 本文件中出现的任何文字叙述、文档格式、插图、照片、 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 、过程等内容，除另有特别注明，版权均属上海安言信息 技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有限公司的书面授权许可，不 得以任何方式复制或引用本文件的任何片断。 信息安全管理系列指导文件（ISMG） 1 内容摘要 本文围绕信息安全风险管理展开论述，详细介绍了风险管理的流程和内容，特别是风险 评估的概念、方法和基本过程。此外，本文还对风险消减、风险控制、风险管理的各种跟进 活动进行了介绍。与信息安全管理相关的一些 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和规范，也在本文最后进行了列举。 在行文过程中，作者参考了大量文献 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 ，并将长期积累的实践经验融合进来，最终成 此专题。当然，本文虽专门论述风险管理，但仅限于基本概念的阐述，并不涉及具体实施和 详细步骤。 由于成文仓促，难免不周和错误，请读者持批判的态度审阅，若有建议和意见，欢迎直 接致函作者，交朋纳友乃作者平生之好。 关于 ISMG 本文作为“信息安全管理指导文件（Information Security Management Guidance，ISMG” 系列之一而提供。ISMG 系列文件是安言咨询围绕信息安全管理这一实践主题而编写的一系 列指导性文件，目的在于为信息安全管理实践者提供有效的建议和帮助。ISMG 系列文件的 主题主要涉及信息安全风险管理、信息安全体系建设、信息安全服务过程、信息安全策略编 写、业务连续性管理、BS7799 标准实施等。 欢迎有志于 ISMG 文件编写的专业人士与我们联系，加入到我们这个队伍中来，共同为 国内信息安全事业的整体发展尽心尽力。 关于安言咨询 上海安言信息技术有限公司（简称安言咨询），是一家从事信息安全管理咨询的专业化 机构。公司致力于兼收并蓄国际上最先进的信息安全和 IT 服务管理理念，结合国内行业特 点，以独立咨询客观立场，为客户提供量身定做并且符合国际标准要求的信息安全解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。 安言咨询凭借多年经营积累起来的信息安全培训体系和咨询服务体系，以充足而完备的 内容和资源，将 BS7799、BS15000、ISO13335、SSE-CMM、ITIL、CoBit 等最佳实践的精 髓恰当地移植给企业客户，充分发掘企业真正的需求，提升企业信息安全整体意识，增强相 关人员的技术技能，巩固和完善企业信息安全管理体系，开拓 IT 服务管理的眼界和思维， 建立稳妥的业务持续性计划，使信息安全和 IT服务真正成为企业整体发展的助动之力。 安言咨询是一个由精英人才凝聚而成的团队，拥有多年电信、金融、制造、政府等行业 背景，持有包括 CISSP、CISA、BS7799LA、ITIL、CCIE 等在内的众多信息管理或技术领 域顶级资质。与此同时，公司还与包括 BSI、DNV、（ISC）2、ISACA、上海交通大学、上 信息安全风险管理概要（ISMG-001） 2 海信息中心、复旦大学等国内外著名机构保持着紧密的合作关系。 相信借助我们长期积累的经验和先进的理念，加上不懈而严谨的努力，定能为客户开启 信息安全管理和 IT服务管理的胜利之门。 关于作者 本文作者张耀疆（CISSP、CISA、BS7799LA、ITIL Foundation、CCNA、MCSE、MCSD）， 信息安全专业硕士，在 IT 及信息安全领域从业多年，先后在西安、深圳、上海等地多家公 司从事过软件开发、系统集成、咨询评估、专业培训等项工作，积累了丰富的专业经验，这 些经验先后汇集成《聚焦黑客－攻击手段与防护策略》、《CISSP认证考试指南》等多部著译 作。作者目前就任上海安言信息技术有限公司 CTO，负责信息安全咨询服务和专业培训相 关工作。 作者联系方式： MSN： zhangyaojiang@hotmail.com QQ： 3304964 Email： colababy@aryasec.com 信息安全管理系列指导文件（ISMG） 3 目录 1. 信息安全风险管理概述 .....................................................................................................................5 1.1 信息和信息安全 ------------------------------------------------------------------------------------------- 5 1.2 信息安全管理 --------------------------------------------------------------------------------------------- 6 1.3 信息安全管理模型和一般过程------------------------------------------------------------------------- 7 1.4 风险管理的核心作用 ------------------------------------------------------------------------------------- 9 1.5 风险管理的基本概念 ------------------------------------------------------------------------------------10 2. 风险管理的前期准备 .......................................................................................................................12 2.1 确定信息安全目标和战略 ------------------------------------------------------------------------------12 2.2 建立信息安全策略 ---------------------------------------------------------------------------------------13 3. 风险评估 ...........................................................................................................................................14 3.1 风险评估的概念 ------------------------------------------------------------------------------------------14 3.2 风险评估的可行途径 ------------------------------------------------------------------------------------14 3.2.1 基线评估..............................................................................................................................15 3.2.2 详细评估..............................................................................................................................15 3.2.3 组合评估..............................................................................................................................15 3.3 风险评估的常用方法 ------------------------------------------------------------------------------------16 3.3.1 基于知识的分析方法 ..........................................................................................................16 3.3.2 基于模型的分析方法 ..........................................................................................................16 3.3.3 定量分析..............................................................................................................................17 3.3.4 定性分析..............................................................................................................................18 3.4 风险评估工具 ---------------------------------------------------------------------------------------------18 3.5 风险评估的基本过程 ------------------------------------------------------------------------------------19 3.5.1 计划和准备..........................................................................................................................20 3.5.2 识别并评价资产..................................................................................................................20 3.5.3 识别并评估威胁..................................................................................................................22 3.5.4 识别并评估弱点..................................................................................................................22 3.5.5 识别并评估现有的安全措施 ..............................................................................................23 3.5.6 评估风险..............................................................................................................................24 3.5.7 推荐控制措施......................................................................................................................25 4. 风险消减 ...........................................................................................................................................26 4.1 确定风险消减策略 ---------------------------------------------------------------------------------------26 4.2 选择安全措施 ---------------------------------------------------------------------------------------------27 4.3 制定安全计划 ---------------------------------------------------------------------------------------------28 4.4 实施安全计划 ---------------------------------------------------------------------------------------------29 4.5 检查和测试 ------------------------------------------------------------------------------------------------29 5. 风险控制 ...........................................................................................................................................30 5.1 维护 ---------------------------------------------------------------------------------------------------------30 信息安全风险管理概要（ISMG-001） 4 5.2 监视 ---------------------------------------------------------------------------------------------------------30 5.3 事件响应 ---------------------------------------------------------------------------------------------------31 5.4 安全意识、培训和教育 ---------------------------------------------------------------------------------32 5.5 再评估与认证 ---------------------------------------------------------------------------------------------33 6. 风险管理的跟进活动 .......................................................................................................................34 6.1 配置管理 ---------------------------------------------------------------------------------------------------34 6.2 变更管理 ---------------------------------------------------------------------------------------------------34 6.3 业务连续性计划和灾难恢复计划 ---------------------------------------------------------------------34 7. 相关标准和资料 ...............................................................................................................................37 7.1 信息安全管理标准 ---------------------------------------------------------------------------------------37 7.1.1 BS 7799 .................................................................................................................................37 7.1.2 ISO 13335..............................................................................................................................38 7.1.3 AS/NZS 4444 .........................................................................................................................38 7.1.4 AS/NZS 4360 .........................................................................................................................38 7.2 与安全管理相关的文献 ---------------------------------------------------------------------------------39 7.3 其他的安全标准和文献 ---------------------------------------------------------------------------------41 信息安全管理系列指导文件（ISMG） 5 1. 信息安全风险管理概述 1.1 信息和信息安全 随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，现代政府部门、金融机 构、企事业单位和商业组织对 IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地 和社会生活的方方面面。既然组织机构的正常运行高度依赖 IT系统，IT系统所承载的信息 和服务的安全性就显得很重要了，信息和服务在保密性、完整性、可用性、可追溯性等方面 出现缺陷，都将给组织机构带来负面影响。如今，遍布全球的互联网使得组织机构不仅内在 依赖 IT系统，还不可避免地与外部的 IT系统建立了错综复杂的联系，对信息加以保护的需 求就尤其突出了。 我们讨论信息安全，关注信息安全存在的问题及面临的威胁，那么到底什么是信息？什 么是信息安全呢？ ISO/IEC的 IT安全管理指南（GMITS，即 ISO/IEC TR 13335）对信息（Information） 的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。一般意义上，信 息是指事物运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定 的概念体系。通常情况下，我们可以把信息可以理解为消息、信号、数据、情报和知识。信 息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸 张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。 对现代企业来说，信息也是一种资产，包括计算机和网络中的数据，还包括专利、标准、商 业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息资 产具有重要的价值，因而需要进行妥善保护。 信息安全（Information Security，InfoSec）自古以来就是受到人们关注的问题，但在不 同的发展时期，信息安全的侧重点和控制方式是有所不同的。早先，通信技术还不发达，面 对信息安全问题，人们强调的主要是其保密性。随着电报、电话等现代通信技术的应用，防 止信息在传输和存储过程中完整性受损就成了较为突出的话题。在计算机技术，尤其是网络 技术飞速发展的现在，信息的可用性与其他特性一起都受到人们的关注。信息安全是一个广 泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的 现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使 之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常 地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续 性，并将风险造成的损失和影响降低到最低程度。 信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。无论是对 国家、组织还是个人来说，具有价值的信息资产会面临着各种各样的安全威胁，因而需要对 其进行妥善保护，信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资 产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。 总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方 面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。 信息安全通常强调所谓 CIA 三元组的目标，即保密性、完整性和可用性。CIA 概念的 阐述源自信息技术安全评估标准（InformationTechnology Security Evaluation Criteria， ITSEC），它也是信息安全所要遵循的基本原则。 图 1.1所示即 CIA三元组。 信息安全风险管理概要（ISMG-001） 6 图 1.1 信息安全基本原则 „ 保密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给 非授权用户或实体。 „ 完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授权用户 篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外 部表示的一致性。 „ 可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被 异常拒绝，允许其可靠而及时地访问信息及资源。 当然，不同机构和组织，因为需求不同，对 CIA原则的侧重也会不同，如果组织最关 心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户 提供正确的信息，那就会突出完整性和可用性的要求。 除了 CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性 （Non-repudiation）、真实性（authenticity）等，这些都是对 CIA原则的细化、补充或加强。 1.2 信息安全管理 所谓管理，就是针对特定对象、遵循确定原则、按照规定程序、运用恰当方法、为了完 成某项任务并实现既定目标而进行的计划、组织、指导、协调和控制等活动。对现代企业和 组织来说，管理对其正常业务运行无疑起着举足轻重的作用。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要 的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相 互协调的活动，其针对对象就是组织的信息资产。 解决信息及信息系统的安全问题，成败通常取决于两个因素，一个是技术，另一个是管 理。安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来 实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序的 支持，否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那信 息安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建 设的方方面面，信息安全的长期性和稳定性才能有所保证。我们常说，信息安全是三分技术 七分管理，可见管理对于信息安全的重要性。 信息安全 保密性 Confidentiality 可用性 Availability 完整性 Integrity 信息安全管理系列指导文件（ISMG） 7 安全管理牵涉到组织的信息评估、开发和文档化，以及实现保密性、完整性和可用性目 标的策略、标准、程序及指南的实施。安全管理要求识别威胁、分类资产，并依据脆弱性分 级来有效实施安全控制。同其他管理问题一样，安全管理也要解决组织、 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 和人员这三方 面的问题，具体来说就是：建设信息安全管理的组织机构并明确责任，建立健全的安全管理 制度体系，加强人员的安全意识并进行安全培训和教育，只有这样，信息安全管理才能实现 包括安全规划、风险管理、应急计划、意识培训、安全评估、安全认证等多方面的内容。 这里有必要强调的是，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是 技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于 真正实现信息安全目标来说尤其重要。 1.3 信息安全管理模型和一般过程 信息安全管理是一个持续发展的过程，像其他管理过程那样，它也遵循着一般性的循环 模式，就是我们常说的 PDCA模型，如图 1.2所示。 图 1.2 PDCA信息安全管理模型 对 PDCA模型的解释是这样的： „ 计划（Plan）—— 这是信息安全管理周期的起点，作为安全管理的准备阶段，为 后续活动提供基础和依据。计划阶段的活动包括：建立组织机构，明晰责任，确定 安全目标、战略和策略，进行风险评估，选择安全措施，并在明确安全需求的基础 上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。 „ 实施（Do）—— 实施阶段是实现计划阶段确定目标的过程，包括安全策略、所选 择的安全措施或控制、安全意识和培训程序等。 „ 检查（Check）—— 信息安全实施过程的效果如何，需要通过监视、审计、复查、 评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序， 以及标准、法律法规和实践经验，检查的结果是进一步采取措施的依据。 „ 措施（Action）—— 如果检查发现安全实施的效果不能满足计划阶段建立的需求， 或者有意外事件发生，或者某些因素引起了新的变化，经过管理层认可，需要采取 应对措施，并按照已经建立的响应机制来行事，必要时进入新的一轮信息安全管理 信息安全风险管理概要（ISMG-001） 8 周期，以便持续改进和发展信息安全。 其实，对信息安全管理模型的描述并不重要，不同的人在不同的环境下可能会有不同的 描述方式，但信息安全管理过程要满足信息安全目标和需求，这一点是不会有变的，只是在 具体的操作过程中会有不同的表现。 对现代商业组织来说，对信息安全的要求是由商务驱动的，组织的战略目标由商务目标 构成，商务目标由商务过程来实现，而商务过程又依赖于信息和信息技术（IT）服务，信息 安全反过来直接关系到商务目标甚至组织战略目标的实现，因此，采取措施保证信息和信息 技术服务的安全就显得尤为重要了。从信息安全管理的角度来看，安全策略的提出也是基于 商务目标的考虑，根据安全策略，组织进行风险评估，选择安全措施，制定安全计划，实施、 操作、审计、评估并改进安全措施，所有这些，都决定着信息和信息技术服务的安全状况， 并为商务过程的操作和商务目标的实现奠定基础。 信息安全管理可操作的一般过程和相应的活动包括： „ 确定组织的信息安全目标和战略。 „ 开发信息安全策略。 „ 进行风险评估（Risk Assessment），明确组织的信息安全需求，具体活动包括： ¾ 制定风险评估计划（明确范围和责任，采集相关信息，描述目标系统）； ¾ 识别并评价信息资产，理解资产的价值和敏感性； ¾ 识别并评估威胁，理解威胁发生的可能性； ¾ 识别并评价弱点，理解弱点被利用的容易程度； ¾ 评估风险，确定风险等级； ¾ 评估并比较现有的安全措施（控制），找出目标与现状之间的差距； ¾ 根据已经明确的需求来推荐安全措施。 „ 进行风险消减（Risk Mitigation），具体活动包括： ¾ 确定风险消减策略，以便减少、规避、转嫁或接受风险； ¾ 选择安全措施（控制）； ¾ 制定安全计划，明确安全措施的构建和实施方案； ¾ 实施安全计划和策略； ¾ 对安全计划和策略的实施结果进行测试和检查。 „ 进行风险控制（Risk Control），具体包括： ¾ 信息系统的维护与操作； ¾ 安全意识、培训与教育； ¾ 对信息系统的运行和安全措施的效力进行监视； ¾ 事件响应； ¾ 再评估与认证。 „ 配置管理（Configuration Management），确保系统发生的变化不会降低安全措施的 效力和组织的整体安全。 „ 变更管理（Change Management），当信息系统发生变化时，识别新的安全需求。 „ 应急计划（Contingency Planning），包括业务连续性计划、灾难恢复计划等。 如果要和 PDCA 模型进行对照的话，我们可以把信息安全目标与战略的确定、信息安 全策略开发以及风险评估归到计划阶段（Plan），风险消减则属于实施阶段（Do），风险控制、 配置管理、变更管理、应急计划以及安全意识培训等活动都可以归入到检查（Check）和措 施（Action）阶段。 其实，如果从广义上来讲，信息安全管理所包含的内容远不止以上所述，在高度依赖信 息技术的现代企业或组织中，其他管理学领域所容纳的内容，包括人事管理、设备管理、场 信息安全管理系列指导文件（ISMG） 9 地管理、软件和网络等技术性管理等，都可以归入到信息安全管理的范畴。不过，这里我们 强调的，只是对组织的信息安全风险进行控制和指导的相互协调的活动，是由风险驱动的信 息安全管理模式，风险管理则是其中的核心。 1.4 风险管理的核心作用 以风险为驱动的信息安全管理，其核心就是通过识别风险、选择对策、实施对策以消减 风险，最终保证信息资产的保密性、完整性、可用性能够满足目标要求的这样一个过程，实 际上这就是风险管理的概念。对现代企业来说，要实现商业目标，就要获得信息和信息系统 的稳定支持，而要保证 IT 系统的稳定和健康，企业就要获得最大化的安全，信息安全面临 的最大问题就是各种风险，将可识别的风险降低到最低程度，这就成了信息安全首要的任务， 因此，解决安全问题的过程实际上就是信息安全风险管理的过程。 既然谈论风险，那么什么是风险呢？在信息安全领域，风险就是指信息资产遭受损坏并 给企业带来负面影响的潜在可能性，既然是可能，风险事件可能发生也可能不发生。如果事 件确定发生，该事件就不属于风险，因为它是可以规划的已知问题。对于风险事件，我们不 能简单对待，而要通过风险管理过程去识别、评估并解决这些可能发生的问题。 简单来说，风险管理就是识别风险、评估风险、采取措施将风险减少到可接受水平，并 维持这个风险水平的过程。信息安全管理的核心内容就是风险管理，因此，我们往往会以风 险管理来概述信息安全管理，在以风险为驱动的模式中，这种说法是成立的。 企业面对存在风险的现实环境，首先要考虑保护什么，通过资产识别与评价来找到对自 己业务生存最为关键的东西；接下来，企业要通过多种途径来识别风险，并评估风险可能给 企业带来负面影响的严重程度；在此基础上，企业度量现实状况与目标之间的差距，确定风 险处理的策略，并通过安全措施的选择和实施来弥合这些差距。需要注意的是，风险管理首 要的目标是保护组织及其履行正常使命的能力，而不仅仅是信息资产，所以，认为风险管理 过程只是操作及管理 IT 系统的专家所应承担的技术职能，这种认识是错误的，风险管理实 际上应该是组织最基本的管理职能的一部分。 图 1.3所示就是风险管理的周期模型，具体内容我们会在后面详细描述。 图 1.3 风险管理周期模型 值得注意的是，与信息安全管理过程相同，风险管理也是一个动态发展并不断循环的过 程，一次风险管理的后期，或者因为新的变化引起了新的风险，或者因为业务本身的要求， 信息安全风险管理概要（ISMG-001） 10 都需要进入下一轮新的风险管理周期。 在实际操作时，风险管理应该和组织的信息系统生命周期过程紧密联系，在信息系统需 求定义、设计、开发、实施、操作维护等各个阶段都结合风险管理的活动，只有这样，风险 管理才能适应动态变化而发展的现实环境。 1.5 风险管理的基本概念 信息安全风险管理过程中牵涉到诸多要素或者概念，包括： „ 资产（Asset）—— 任何对组织具有价值的东西，包括计算机硬件、通信设施、建 筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保 护。对资产的评估要从价值、重要性或敏感度等方面来考虑。 „ 威胁（Threat）—— 就是可能对资产或组织造成损害的意外事件的潜在原因，即 某种威胁源（threat source）或威胁代理（threat agent）成功利用特定弱点对资产造 成负面影响的潜在可能。威胁类型包括人为威胁（故意和无意）和非人为威胁（自 然和环境）。识别并评估威胁时需要考虑威胁源的动机和能力。风险管理关心的是 威胁发生的可能性。 „ 弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可 被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。弱点本身并不能构 成伤害，它只是威胁利用来实施影响的一个条件。风险管理过程中要识别弱点，并 评估弱点的严重性和可被利用的容易程度。 „ 风险（Risk）—— 特定威胁利用资产的弱点给资产或资产组带来损害的潜在可能 性。单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性 与影响综合作用的结果。 „ 可能性（Likelihood）—— 对威胁事件发生的几率（Probability）或频率（Frequency） 的定性描述。 „ 影响（Impact）—— 或者是后果（Consequence），意外事件发生给组织带来的直 接或间接的损失或伤害。 „ 安全措施（Safeguard）—— 也称作控制措施（control）或对策（countermeasure）， 即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方 法和措施。 „ 残留风险（Residual Risk）—— 在实施安全措施之后仍然存在的风险。 图 1.4所示就是这些要素之间的关系。 图 1.4 风险管理各要素之间的关系 威胁 弱点 利用 资产 暴露 价值 具有 风险 安全措施 安全需求 导致 导致 防范 减少 提出 增加 采取 信息安全管理系列指导文件（ISMG） 11 从图 1.4中可以看出，威胁对弱点加以利用，暴露了具有价值的资产，从而造成负面影 响，由此导致风险。正是因为风险的存在，我们才提出了安全需求，为了实现需求，必须采 取安全措施，以便防范威胁并减少风险。风险管理的整个过程就是在这些要素间相互制约相 互作用的关系中得以进展的。 信息安全风险管理概要（ISMG-001） 12 2. 风险管理的前期准备 2.1 确定信息安全目标和战略 风险管理的首要任务是明确信息安全目标（Objective），即信息安全管理所要实现的目 标。安全目标决定了组织能够接受的风险水平和所应满足的安全程度，这是信息安全管理得 以成功的关键。为了确定安全目标，组织应该充分考虑对其商务功能起着支持作用的信息资 产的重要性和价值，在此过程中，组织应该考虑到以下问题： „ 组织承担着哪些重要的商务活动？没有 IT支持，这些商务活动将无法进行。 „ 哪些任务只能在 IT的帮助下才能完成？ „ 组织有哪些关键决策必须依赖信息的保密性、完整性和可用性？ „ 哪些机密信息需要进行保护？ „ 如果发生意外事件，对组织来说意味着什么？ 解答这些问题，对明确信息安全目标很有帮助。例如，某公司的一项很重要的商务活动 有赖于信息的准确和及时更新，于是，公司的安全目标之一就是确保有待处理的信息的完整 性和实效性。当然，在确定信息安全目标的时候，还应该考虑商务目标与安全的关系。 一般来说，组织的信息安全目标应该包括： „ 确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。 „ 确保与雇员、客户、消费者和受益人相关的信息资料的保密性。 „ 保护敏感的商务数据，使其免遭不恰当的泄漏。 „ 避免因为组织的计算机或网络资源被利用来实施非法或恶意操作而承担第三方责 任。 „ 确保组织的计算机、网络和数据资源不被误用或浪费。 „ 防止欺诈。 „ 遵守相关的法律法规。 明确信息安全目标之后，组织还应该考虑实现目标的战略（Strategy），如果说安全目标 规定的是获得什么样结果的问题，安全战略则是实现这些目标的途径和方法。安全战略通常 阐述的是整个组织范围内需要统一考虑的主题，它可以很具体，也可以比较宽泛，这有赖于 要保护的资产的价值和安全目标的类型、数量和重要程度。例如，组织有这样一个安全目标： 必须将所有系统的可用性维持在很高的水平，由这个目标衍生出的安全战略就可以很具体： 在全组织范围内安装防病毒软件，或者在指定地点对所有接收的软件进行病毒检查，以此来 防止病毒感染和扩散。如果组织的商务类型是 IT 服务的销售，一项重要的安全目标可能就 是：向潜在客户证明组织的系统是安全的，这时候，一个宽泛的战略就可以满足要求：所有 的系统都必须由经认可的第三方来证明其安全性。 在考虑安全战略的时候，根据不同的目标或者目标的组合，可能会包括以下主题： „ 全组织范围内应采用的风险评估战略和方法 „ 对信息安全策略的需求 „ 对系统安全操作程序的需求 „ 全组织范围内的信息敏感性分类方案 „ 与其他组织连接时需要满足的条件和检查方法 „ 事件处理方案 其中，对风险评估战略和方法的考虑是风险管理周期很重要的一个前提，只有事先确定 了风险评估的途径，风险评估或风险分析活动才能有据而行。 信息安全管理系列指导文件（ISMG） 13 2.2 建立信息安全策略 安全目标规定了信息安全需要达到的标准，安全战略确定了实现目标的途径，在此基础 上，信息安全策略则全面阐述了具体的做法。 信息安全策略（Information Security Policy）也称做信息安全方针，它是在一个组织内 指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示。确定并实施信息 安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。 信息安全策略应该阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准， 采用适当的方式（指导文件和培训）告知员工。 基于安全目标和战略，组织力求建立全面、系统和文档化的信息安全策略体系，从阐述 的不同层次来看，信息安全策略可以分为三类： „ 总体方针 —— 由组织的最高管理层为信息安全制订颁布的战略指导性文件，是 组织对信息安全的一般性声明，规定了组织信息安全策略的总体框架，内容包括： ¾ 组织对信息安全的基本认识； ¾ 组织的安全目标和战略，包括对法律法规遵守的考虑； ¾ 组织信息安全所涉及的范围； ¾ 信息安全的组织构架和责任认定； ¾ 信息资产的分类模式； ¾ 风险管理的途径； ¾ 信息资产分类方案； ¾ 关于信息安全管理的其他全局性约定。 „ 特定问题策略（Issue-Specific Policy）—— 组织不仅要有一个策略总体方针，还 应该在总体方针的框架内制定更加具体的安全策略。特定问题策略，是就某一类信 息安全的主题而详细阐述并希望员工更好地理解的策略，如邮件安全策略和互联网 访问策略。此类策略规定了组织针对特定问题的声明、立场、适用办法、强制要求、 角色和责任等内容。 „ 特定系统策略（System-Specific Policy）—— 特定系统策略是更为具体的一类策 略，它针对实际的计算机、网络、应用和数据系统，规定了具体的维护和使用规则， 例如如何保护数据库，如何锁定计算机，如何应用 IDS和防火墙等。 信息安全策略的制定要符合安全目标和战略的要求，具体操作时可以依据前一次风险评 估、管理复查、跟进活动（例如对所实施的安全措施的审查，系统安全审计，安全相关事件 的报告等）的结果。可以看出，信息安全策略的制定并不能一蹴而就，往往需要多次反复才 能逐步完善，这和信息安全管理螺旋式动态发展的模式是吻合的。信息安全策略为风险管理 奠定了基础，而风险管理过程又为信息安全策略的制定和完善提供了依据。当然，保持信息 安全策略相对的稳定性也是保证信息安全得以成功的必然要求，因此，对信息安全策略的阐 述应该力求全面而明确，但并不过于具体和深入，真正的可用来实际操作的方法，应该由更 具体的标准、指南或程序来解释和陈述。 信息安全策略的具体执行可以通过制定标准、指南或程序等加以明确，而执行的效果还 要通过信息安全管理过程中相关的活动来加以评估和审计，如果有必要，例如新的商业目标 的引入，应该更新现有的信息安全策略。 信息安全风险管理概要（ISMG-001） 14 3. 风险评估 3.1 风险评估的概念 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带 来风险的可能性的评估。 作为风险管理的基础，风险评估（Risk Assessment）是组织确定信息安全需求的一个重 要途径，属于组织信息安全管理体系策划的过程。风险评估的主要任务包括： „ 识别组织面临的各种风险 „ 评估风险概率和可能带来的负面影响 „ 确定组织承受风险的能力 „ 确定风险消减和控制的优先等级 „ 推荐风险消减对策 在风险评估过程中，有几个关键的问题需要考虑。首先，要确定保护的对象（或者资产） 是什么？它的直接和间接价值如何？其次，资产面临哪些潜在威胁？导致威胁的问题所在？ 威胁发生的可能性有多大？第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程 度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最 后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？ 解决以上问题的过程，就是风险评估的过程。 这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析（Risk Analysis） 这个概念，实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。当 然，如果细究起来，风险分析应该是处理风险的总体战略（它包括风险评估和风险管理两个 部分，此处的风险管理相当于本文的风险消减和风险控制的过程），风险评估只是风险分析 过程中的一项工作，即对可识别的风险进行评估，以确定其可能造成的危害。 进行风险评估时，有几个对应关系必须考虑： „ 每项资产可能面临多种威胁 „ 威胁源（威胁代理）可能不止一个 „ 每种威胁可能利用一个或多个弱点 更详细的内容，我们会在后面逐步展开。 3.2 风险评估的可行途径 在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包 括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定 风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系 统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度 和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险 评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估 三种。 信息安全管理系列指导文件（ISMG） 15 3.2.1 基线评估 如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或 者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就 可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。 采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信 息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的 差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的 安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于 特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组 织可以根据以下资源来选择安全基线： „ 国际标准和国家标准，例如