信息安全與風(fēng)險管理

信息安全與風(fēng)險管理目前一頁\總數(shù)一百零五頁\編于十一點安全管理安全管理風(fēng)險管理信息安全策略規(guī)程標(biāo)準(zhǔn)方針基線信息分級安全組織安全教育安全管理主要內(nèi)容及概述安全計劃是公司的安全管理的核心組成部分，目的是保護公司財產(chǎn)。風(fēng)險分析是確定公司財產(chǎn)，發(fā)現(xiàn)構(gòu)成威脅的風(fēng)險并評估這些危險變成現(xiàn)實的時可能承受的危害和損失，風(fēng)險分析的結(jié)果幫助管理者采取可行的安全策略，為在公司中發(fā)生的活動提供安全方面的指導(dǎo)，說明安全管理在公司安全計劃中的價值。安全教育將上面的信息灌輸給公司中的每個員工，這樣，每一個人都受到教育，從而能夠更容易的朝著同一個安全目標(biāo)前進。目前二頁\總數(shù)一百零五頁\編于十一點安全管理安全管理過程評定風(fēng)險和確定需求監(jiān)控和評估加強意識實施策略和控制安全管理過程是一個不斷循環(huán)的過程；首先從評估風(fēng)險和確定需求開始；然后監(jiān)控和評估相關(guān)系統(tǒng)和事件；接下來是加強意識，這包括讓企業(yè)中的所有相關(guān)人員了解需要處理的問題。最后一步是實施解決前面定義的風(fēng)險和需求的策略和控制。然后這個循環(huán)再次從頭開始。目前三頁\總數(shù)一百零五頁\編于十一點安全管理安全管理職責(zé)安全計劃安全計劃須包括目標(biāo)、范圍、方針、優(yōu)先級、標(biāo)準(zhǔn)和策略。資源有人力資源、資本、硬件以及信息等多種形式。管理職責(zé)管理者必須分配職責(zé)和任務(wù)，從而讓安全計劃啟動并在環(huán)境改變的情況下任然能夠運行下去。管理者也必須將安全計劃整合到目前的山野環(huán)境中，并監(jiān)控他的完成情況。影響安全計劃的因素管理上的支持是安全計劃最重要的因素之一。從商業(yè)目標(biāo)、安全風(fēng)險、用戶能力以及功能需求和目標(biāo)，并制定計劃，以保證問題都解釋清楚而且正確表述。依賴于對公司信息資產(chǎn)的正確識別、指定安全策略、過程、標(biāo)準(zhǔn)和準(zhǔn)則，他們?yōu)橘Y產(chǎn)提供了完整性、機密性和可用性。使用一定的手段對安全風(fēng)險進行評估和分析。必要的資源、資金和戰(zhàn)略代表需要參與到安全計劃中來目前四頁\總數(shù)一百零五頁\編于十一點安全管理自頂向下的方法蓋房子確定藍圖構(gòu)建房基構(gòu)建框架裝修，詳細(xì)的房間的布置制定安全計劃根據(jù)上級的主導(dǎo)思想和條款制定“藍圖”開發(fā)和執(zhí)行支持這個安全策略的規(guī)程、標(biāo)準(zhǔn)和方針確定安全組件、構(gòu)建安全過程詳細(xì)的配置設(shè)置和系統(tǒng)參數(shù)自底向上的方法：在沒有足夠的管理層支持和知道的時候，IT部門榮祥指定安全計劃，就可以使用自底向上的方法；自底向上的方法通產(chǎn)不會很有效，不占主流，而且往往會失敗。自頂向下的方法：這個過程堅實系統(tǒng)性的，需要較少的時間、金錢和資源，而且能夠在功能和安全保護之間達到合理的平和。目前五頁\總數(shù)一百零五頁\編于十一點安全管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制：設(shè)施保護、安全防護、鎖定、監(jiān)控、環(huán)境控制、入侵檢測技術(shù)控制：邏輯訪問控制、加密、安全設(shè)備、鑒別和認(rèn)證管理控制：策略、標(biāo)準(zhǔn)、規(guī)程、方針、屏蔽人員、安全意識培訓(xùn)公司數(shù)據(jù)和財產(chǎn)目前六頁\總數(shù)一百零五頁\編于十一點安全指標(biāo)安全管理和支持控制安全指標(biāo)管理控制：包括開發(fā)和發(fā)布策略、標(biāo)準(zhǔn)、規(guī)程以及準(zhǔn)則、風(fēng)險管理，此外還有賽選人員、安全意識培訓(xùn)和變更控制過程。技術(shù)控制：包括訪問控制機制、密碼和資源管理、鑒別和認(rèn)證方法、按去哪設(shè)別以及配置基礎(chǔ)架構(gòu)物理控制：包括控制個人訪問設(shè)施和各部門，鎖定系統(tǒng)，取出不必需要的軟驅(qū)和CD-ROM驅(qū)動器、保護設(shè)施、檢測潤親以及環(huán)境控制。目前七頁\總數(shù)一百零五頁\編于十一點安全管理和支持控制安全的基本原則安全原則可用性機密性完整性保密性（Confidentiality）:確保信息在存儲、使用、傳輸過程中不會泄露給非授權(quán)用戶或?qū)嶓w。完整性（Integrity）:確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)男薷男畔?，保持信息?nèi)部和外部的一致性?？捎眯裕ˋvailability）:確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。目前八頁\總數(shù)一百零五頁\編于十一點安全定義安全管理和支持控制脆弱性

脆弱性（Vulnerability）是一種軟件、硬件或是過程缺陷，這種缺陷也許會給攻擊者提供正在尋找的方便之門，這樣他就能夠進入某臺計算機或某個網(wǎng)絡(luò)，并在這個系統(tǒng)中對資源進行未經(jīng)授權(quán)的訪問。威脅威脅（Threat）是威脅因素利用錯若星所造成的損失的潛能或是可能性。暴露暴露（Exposure）是因威脅因素而遭受損失的一個案例。對策對策（countermeasure）或者安全措施，可以減輕潛在的風(fēng)險。安全措施威脅因素威脅脆弱性風(fēng)險資產(chǎn)暴露引起利用導(dǎo)致可以破壞并且引起一個不能夠被預(yù)防，通過直接作用到目前九頁\總數(shù)一百零五頁\編于十一點機構(gòu)安全框架在網(wǎng)絡(luò)中評估這些概念的正確順序為：威脅、暴露、脆弱性、對策，最后為風(fēng)險。這是因為：如果具有某種威脅（新的SQL攻擊），但是除非你所在公司存在對應(yīng)的脆弱性（采用必要配置的SQL服務(wù)器），否則公司不會暴露在威脅之中，這也不會形成脆弱性。如果環(huán)境中確實存在脆弱性，就應(yīng)該采取對應(yīng)策略，以降低風(fēng)險。安全管理和支持控制目前十頁\總數(shù)一百零五頁\編于十一點應(yīng)用概念的順序安全管理和支持控制安全框架總體安全機密性完整性可用性代價合理的解決方案安全措施對策法律責(zé)任安全意識系統(tǒng)可靠性策略和規(guī)程保護需求數(shù)據(jù)分級功能性評價定量和定性風(fēng)險評估風(fēng)險分析定義風(fēng)險和威脅完整性完整性業(yè)務(wù)對象機構(gòu)安全模型包括許多實體、保護機制、邏輯和物理組件、規(guī)程和配置組成這些因素在一起相互協(xié)作，能夠為系統(tǒng)提供一定的安全級別。每個模型都是不相同的，但是所有的模型都分層；每層都為其上層提供支持并未下層提供保護。目前十一頁\總數(shù)一百零五頁\編于十一點安全規(guī)劃安全管理和支持控制安全規(guī)劃可以分為三個不同的領(lǐng)域：戰(zhàn)略、戰(zhàn)術(shù)、運作規(guī)劃。戰(zhàn)略規(guī)劃指與商業(yè)和信息技術(shù)目標(biāo)相一致的計劃。戰(zhàn)略規(guī)劃的目標(biāo)的視野更加長遠，更加廣闊，其期限可能長達五年。戰(zhàn)術(shù)規(guī)劃指必須實施以達到戰(zhàn)略規(guī)劃所提出的更廣泛的目標(biāo)的活動和支持。一般來說與戰(zhàn)略計劃相比，戰(zhàn)略規(guī)劃的時間更短，或者其遠景時間更短。運作規(guī)劃主要處理非常特殊的計劃、他們的最終期限和目標(biāo)。這包括完成計劃目標(biāo)的準(zhǔn)確日期和時間表，以及如果完成這些目標(biāo)的特別指導(dǎo)。日常目標(biāo)或操作目標(biāo)都集中在工作效率和面向任務(wù)的活動和說那個，這樣才能保證公司的功能能夠以一種平順而且可以預(yù)見的方式實現(xiàn)。中期目標(biāo)或戰(zhàn)術(shù)目標(biāo)，可能是將所有的工作站和資源都整合到一個地方，這樣就可以實現(xiàn)集中控制。長期目標(biāo)，或戰(zhàn)略目標(biāo)，可能會涉及到如下活動；將所有部門從專用通信線路轉(zhuǎn)移到幀中繼方式，為所有的遠程用戶轉(zhuǎn)杯IPsec虛擬專用網(wǎng)；（VPN）以代替撥號方式，向系統(tǒng)中整個帶有必要安全措施是的無線技術(shù)。目前十二頁\總數(shù)一百零五頁\編于十一點安全框架-Cobit安全管理和支持控制信息及相關(guān)技術(shù)控制目標(biāo)（Cobit）是信息系統(tǒng)審計和控制協(xié)會（ISACA）與信息技術(shù)治理學(xué)院（ITGI）共同開發(fā)的一個框架。它定義用于正確管理IT并確保IT滿足商業(yè)需求的控制目標(biāo)。Cobit分為四個領(lǐng)域：計劃和組織、獲取和實施、交付和支持、監(jiān)控和評估。每個類別又細(xì)分為兩個子類。Cobit通過這些領(lǐng)域提供控制目標(biāo)、控制實施、目標(biāo)指示、性能指示、成功因素和成熟模型。他列出了一個完整的路線圖，公司可以遵照路標(biāo)完成這個模型中的所有34個控制目標(biāo)。目前十三頁\總數(shù)一百零五頁\編于十一點安全框架——COSO安全管理和支持控制控制活動確保管理活動付諸實施的政策/流程。措施包括審批、授權(quán)、確認(rèn)、建議、業(yè)績考核、資產(chǎn)安全和職責(zé)分離。監(jiān)督不斷評估內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實時和獨立的評估。管理層和監(jiān)督活動。

內(nèi)部審計工作?？刂骗h(huán)境營造單位氣氛－讓公司員工建立內(nèi)部控制因素包括正直，道德價值，能力，權(quán)威和責(zé)任是其他內(nèi)部控制組成部分的基礎(chǔ)信息和溝通及時地獲取，確定并交流相關(guān)的信息從內(nèi)部和外部獲取信息使得形成從職責(zé)方面的指示到管理層有關(guān)管理行動的發(fā)現(xiàn)總結(jié)等各方面各類內(nèi)部控制成功的措施的信息流風(fēng)險評估風(fēng)險評估是為了達到企業(yè)目標(biāo)而確認(rèn)和分析相關(guān)的風(fēng)險-形成內(nèi)部控制活動的基礎(chǔ)所有的五個部分必須同時作用才能使內(nèi)部控制得以產(chǎn)生影響

監(jiān)控信息和溝通控制活動風(fēng)險評估控制環(huán)境營運財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1監(jiān)控信息和溝通控制活動風(fēng)險評估控制環(huán)境營運財務(wù)報告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動2活動1coso是一個企業(yè)治理模型，而Cobit是一個IT治理模型。coso更多面向策略層面，而Cobit則更關(guān)注運營層面。Cobit可以看作是滿足許多coso目標(biāo)的一種方法，但只能從it角度來看，因為coso還處理非IT項目，如公司文化、財務(wù)會計原則、董事會責(zé)任和內(nèi)部通信結(jié)構(gòu)。目前十四頁\總數(shù)一百零五頁\編于十一點安全框架——ISO17799安全管理和支持控制ISO17799時最常用的標(biāo)準(zhǔn)，它由正式標(biāo)準(zhǔn)——英國標(biāo)準(zhǔn)7799（BS7799）發(fā)展而來。這個是一個世界公認(rèn)的信息安全管理標(biāo)準(zhǔn)，他為企業(yè)安全提供高級概念化建議。它由兩部分構(gòu)成；第一部分是一個執(zhí)行指導(dǎo)，由如何建立一個綜合性的信息安全結(jié)構(gòu)體系的指導(dǎo)方針組成；第二部分是一個審計指導(dǎo)，說明一個遵守ISO17799的組織必須滿足的要求。組織信息安全策略：詳細(xì)說明公司安全目標(biāo)、管理層的支持、安全目標(biāo)和責(zé)任信息安全結(jié)構(gòu)體系的建立：使用安全論壇、安全官員及通過定義安全責(zé)任、授權(quán)、過程、外包和獨立檢查，建立和維持一個組織化的安全結(jié)構(gòu)資產(chǎn)分類與控制：通過審計和清單、分類及處理規(guī)程建立一個安全結(jié)構(gòu)體系，保護組織資產(chǎn)人員安全：通過篩選員工、定義角色和責(zé)任、適當(dāng)培訓(xùn)員工及記錄未達到的預(yù)期的目標(biāo)來降低人員交互的內(nèi)在風(fēng)險物理和環(huán)境安全：通過正確選擇建筑設(shè)施位置、建立和維護一個安全周界、實施訪問控制及保護設(shè)備來保護組織資產(chǎn)通信和運作管理：通過運作規(guī)程、正確的變更控制、事故處理、職責(zé)分割、產(chǎn)能規(guī)劃、網(wǎng)絡(luò)管理和媒介處理執(zhí)行運作安全。訪問控制：根據(jù)商業(yè)需求、用戶管理、認(rèn)證方法和監(jiān)控來控制資產(chǎn)訪問系統(tǒng)開發(fā)和維護：通過制定安全需求、加密、完整性和軟件開發(fā)規(guī)程，在系統(tǒng)生命周期的所有階段實現(xiàn)安全業(yè)務(wù)連貫性管理：通過使用聯(lián)關(guān)系規(guī)劃和測試避免對正常運作的破壞法律遵從：通過技術(shù)控制、系統(tǒng)審計和法律意識來遵守法規(guī)、合同和法令要求。目前十五頁\總數(shù)一百零五頁\編于十一點安全框架——ITIL安全管理和支持控制服務(wù)設(shè)計服務(wù)戰(zhàn)略服務(wù)轉(zhuǎn)換服務(wù)運營產(chǎn)生財務(wù)投資組合需求服務(wù)目錄服務(wù)級別可用性連續(xù)性供應(yīng)商度量趨勢分析報告改進事件(Event)事故(Incident)問題技術(shù)訪問變更資產(chǎn)&配置發(fā)布和部署有效性變更資產(chǎn)&配置信息技術(shù)基礎(chǔ)架構(gòu)庫（ITIL）是IT服務(wù)管理最佳實踐的事實標(biāo)準(zhǔn)。ITIL是一個可定制的框架，他通過一套書籍或以在線個事提供目標(biāo)、實現(xiàn)這些目標(biāo)所需的日?；顒樱约皾M足這些既定目標(biāo)所需的每個流程的輸入和輸出值。Cobit定義IT目標(biāo)，而ITIL則在流程曾面上就如何實現(xiàn)這些目標(biāo)提供所需采取的步驟。目前十六頁\總數(shù)一百零五頁\編于十一點安全框架——小結(jié)安全管理和支持控制Cobit和COSO提供“要實現(xiàn)什么”，而不是“如何實現(xiàn)它”，這就是ITIL和ISO17799存在的原因。要實現(xiàn)什么CobitCOSOISO17799ITIL如何實現(xiàn)它目前十七頁\總數(shù)一百零五頁\編于十一點安全管理安全治理安全治理（SecurityGovernance）在本質(zhì)上非常類似于企業(yè)的IT治理，因為這三者在功能和目標(biāo)上有重疊的地方。所有這三種治理都在公司的組織結(jié)構(gòu)內(nèi)進行，而且都以輔助確保公司的生存和發(fā)展為目標(biāo)——只是側(cè)重點不同。IT治理學(xué)院在《董事會參考之IT治理簡介》第二版中對安全治理的定義。“治理是董事會和執(zhí)行管理層履行的一組責(zé)任和實踐，其目標(biāo)在于提供策略指導(dǎo)，確保目標(biāo)得以實現(xiàn)，封信啊得到適當(dāng)管理，并證明切葉的資源得到合理的利用?！边@個定義完全正確，但它仍然非常抽象，這更像一個策略性政策聲明，然而真正的技巧是正確解釋并將他轉(zhuǎn)化成有意義的戰(zhàn)術(shù)、運作職能和實踐。對于安全治理而言，必須有什么東西的到治理。一個組織必須執(zhí)行的所有控制共同成為安全計劃目前十八頁\總數(shù)一百零五頁\編于十一點安全管理制定安全計劃計劃與組織實施運作和維護監(jiān)控和評估優(yōu)點：書面策略和規(guī)程無法和安全活動相對應(yīng)，獲得不到安全活動的支持。組織內(nèi)努力保護公司財產(chǎn)的不同個人之間出現(xiàn)眼中分離和混亂沒有辦法評估進展和開支與資源分配的投資回報沒有辦法完全了解安全計劃的缺陷，也不能用一種標(biāo)準(zhǔn)的方法來改善這些缺陷不能保證遵守法律、法規(guī)或策略完全依賴技術(shù)來解決所有安全問題拼錯獨立的解決方案，沒有整體的企業(yè)解決方案對任何安全違規(guī)采用以一種“火警”式的方法，而不是一種平靜、主動而探測性的方法。錯誤的安全意識，產(chǎn)生混亂的潛在傾向。安全計劃是一個永不終止的生命周期；目前十九頁\總數(shù)一百零五頁\編于十一點安全管理實施分配任務(wù)和責(zé)任指定和實施安全策略、規(guī)程、標(biāo)準(zhǔn)、基線和指導(dǎo)。確定靜態(tài)和動態(tài)敏感數(shù)據(jù)。實施以下藍圖（Blueprint）資產(chǎn)確定和管理風(fēng)險管理脆弱性管理法規(guī)遵從身份管理和訪問控制變更控制軟件開發(fā)聲明周期業(yè)務(wù)連貫性規(guī)劃意識和培訓(xùn)物理安全事故響應(yīng)實施每個藍圖的解決方案（管理、技術(shù)、物理的）。開發(fā)每個藍圖的審計和監(jiān)控解決方案確定每個藍圖的目標(biāo)、服務(wù)等級協(xié)議（SLA）和標(biāo)準(zhǔn)。計劃和組織計劃和組織確定管理承諾成立監(jiān)督指導(dǎo)委員會評估業(yè)務(wù)推動力了解組織威脅概況進行風(fēng)險評估在組織、應(yīng)用軟件、網(wǎng)絡(luò)和組建鞥開發(fā)安全體系結(jié)構(gòu)。確定每個體系結(jié)構(gòu)層面的解決方案獲得管理層的批準(zhǔn)，以繼續(xù)向前運作和維護遵循規(guī)程，確保所有極限在每個實施的藍圖中的到滿足執(zhí)行內(nèi)部和外部審計執(zhí)行每個藍圖中列出的任務(wù)管理每個藍圖的服務(wù)等級協(xié)議監(jiān)控和評估每個藍圖的核查日志、審計結(jié)果、收集的標(biāo)準(zhǔn)值和SLA評估每個藍圖的目標(biāo)完成情況每季與指導(dǎo)委員會舉行會議確定改進步驟，并將其整合到“計劃和組織”階段目前二十頁\總數(shù)一百零五頁\編于十一點安全管理安全框架藍圖整個企業(yè)中，遵循這些藍圖可實現(xiàn)標(biāo)準(zhǔn)化、簡化標(biāo)準(zhǔn)收集和治理。這些藍圖應(yīng)遵循最佳時間并符合ISO17799框架。圖3-6說明了在制定一個安全計劃時這些藍圖發(fā)揮作用的地方。目前二十一頁\總數(shù)一百零五頁\編于十一點安全管理商業(yè)需求私有企業(yè)私有企業(yè)能夠在競爭中興旺起來，是通過商品銷售、可考的管理決策、了解最終用戶、了解市場的潮流和動向達到的。對大多數(shù)私有企業(yè)來說，在三個安全服務(wù)指標(biāo)（可用性、完整性和機密性），數(shù)據(jù)完整性和可用性通常比機密性更重要。軍事機構(gòu)軍方也因為幾百他們的競爭對手（其他國家）而發(fā)展壯大，這需要合理的訓(xùn)練、準(zhǔn)備、智能化和指揮。在三個主要的安全服務(wù)指標(biāo)中（可用性、完整性和機密性）機密性對于軍方是最重要的。當(dāng)然這就會使得軍事組織實行更加嚴(yán)格的安全模型，他比私有組織更加強調(diào)安全性。目前二十二頁\總數(shù)一百零五頁\編于十一點信息風(fēng)險管理風(fēng)險是指破壞發(fā)生的可能性，以及破壞發(fā)生后的衍生情況。信息風(fēng)險管理（InformationRiskManagement，IRM）指識別并評估風(fēng)險、將它降低到可接受的水平、執(zhí)行正確的機制來維持這種水平的過程。關(guān)鍵是在于識別這些威脅，估計他們實際發(fā)生的可能性以及他們可能造成的破壞，并采取恰當(dāng)?shù)拇胧瑢h(huán)境的總體風(fēng)險降低到組織認(rèn)為可以接受的水平。風(fēng)險管理概述幾種常見風(fēng)險類型自然損失：火災(zāi)，水災(zāi)、故意破壞、停電和自然災(zāi)害人為破壞：意外或有意行為，或可能降低生產(chǎn)效率的怠惰設(shè)備故障：系統(tǒng)或外圍設(shè)備故障內(nèi)部與外部攻擊：黑客、破解與攻擊行為。數(shù)據(jù)誤用：共享商業(yè)秘密、欺騙、間諜活動和盜竊數(shù)據(jù)丟失：通過破壞性方法有意或無意造成信息丟失應(yīng)用程序錯誤：計算錯誤、輸入錯誤和緩沖區(qū)溢出。目前二十三頁\總數(shù)一百零五頁\編于十一點信息風(fēng)險管理策略IRM策略主要內(nèi)容IRM團隊的目標(biāo)公司可接受的風(fēng)險水平，可接受風(fēng)險的定義。識別風(fēng)險的標(biāo)準(zhǔn)過程。IRM策略與機構(gòu)的策略性規(guī)劃過程之間的聯(lián)系IRM承擔(dān)的責(zé)任以及履行這些責(zé)任的職務(wù)風(fēng)險與內(nèi)部控制之間的關(guān)系響應(yīng)風(fēng)險分析、改變員工行為與資源分配的方法。風(fēng)險與業(yè)績目標(biāo)及預(yù)算之間的關(guān)系檢測控制效率的主要指標(biāo)IRM策略為企業(yè)的風(fēng)險管理過程及步驟提供基礎(chǔ)架構(gòu)，應(yīng)解決包括人員選拔、內(nèi)部威脅、物理安全與防火墻在內(nèi)的一切信息安全問題。同時，它還應(yīng)為IRM團隊如何向高級管理層通報公司風(fēng)險信息，以及如何執(zhí)行管理層的風(fēng)險弱化策略提供指導(dǎo)。恰當(dāng)?shù)娘L(fēng)險管理需要高級管理層的鑒定承諾以及一個文本化流程，這個過程為機構(gòu)的使命、IRM策略和委任的IRM團隊提供支持。信息風(fēng)險管理目前二十四頁\總數(shù)一百零五頁\編于十一點風(fēng)險管理團隊風(fēng)險管理團隊的目標(biāo)由高級管理層提供明確的風(fēng)險接受水平文本話的風(fēng)險評估流程和步驟識別并避免風(fēng)險的步驟由高級管理層適當(dāng)分配資源和資金由評估證明有必要制定的應(yīng)急計劃對所有信息資產(chǎn)有關(guān)的員工進行安全意識培訓(xùn)有必要的，能夠成立特殊領(lǐng)域內(nèi)的改進（或風(fēng)險弱化）團隊制定出法律及法規(guī)遵從要求計劃，以控制并履行這些要求制定衡量業(yè)績指標(biāo)，以測量并管理各種類型的風(fēng)險能夠隨環(huán)境和公司變化而識別并評估風(fēng)險綜合IRM與組織的變化控制過程，保證這些變化不會形成新的風(fēng)險。完成目標(biāo)的必要的條件獲得高級管理層的支持，從而對資源進行合理的調(diào)配。這個團隊也需要一個領(lǐng)導(dǎo)，在大型組織內(nèi)，這名成員應(yīng)用50%～70%的時間來處理風(fēng)險管理工作。管理層必須投入資金對此人進行必要的培訓(xùn)。為其提供風(fēng)險工具，以確保風(fēng)險管理工作的順利進行。信息風(fēng)險管理目前二十五頁\總數(shù)一百零五頁\編于十一點風(fēng)險分析風(fēng)險分析概念風(fēng)險分析（實際上是一種風(fēng)險管理工具）是識別風(fēng)險及其可能造成的損失，從而調(diào)正安全防護措施的方法。風(fēng)險分析的作用風(fēng)險是威脅因素利用脆弱性損害系統(tǒng)或環(huán)境的可能性以及發(fā)生的頻率。風(fēng)險分析用來保證安全措施是劃算的，并能適當(dāng)而適時地對威脅做出反應(yīng)。風(fēng)險分析有4個目標(biāo)標(biāo)識財產(chǎn)和他面臨的威脅識別脆弱性和威脅量化天災(zāi)威脅的商業(yè)影響在風(fēng)險影響和對策費用之間達到預(yù)算的平衡風(fēng)險分析提供了一種成本/收益比，也就是用來保護公司免收威脅安全措施的費用和預(yù)料中的損失所需要的代價之間的比值。風(fēng)險評估需要注意的內(nèi)容：確定風(fēng)險評估的范圍；調(diào)研風(fēng)險評估的規(guī)模以及資產(chǎn)的調(diào)研；大多數(shù)評估主要針對物理安全、技術(shù)安全或人員安全；

確定公司商業(yè)目標(biāo)和安全目標(biāo)需求；風(fēng)險分析那個獲得成功就需要得到高級管理層的支持和指導(dǎo)；必要的時間和資金來進行分析工作；必要的風(fēng)險分析團隊；信息風(fēng)險管理目前二十六頁\總數(shù)一百零五頁\編于十一點風(fēng)險分析團隊要實現(xiàn)最有效的風(fēng)險分析，就需要建立一個團隊，這個團隊的成員可以是管理人員、應(yīng)用程序員、IT人員、審計員、系統(tǒng)及成員或者運行部經(jīng)理，這個是必需的。樣所有的風(fēng)險才能被充分了解和量化。評估風(fēng)險需要注意的問題可能會發(fā)生那些時間（威脅事件）？其潛在的影響（風(fēng)險）是什么？他們多久發(fā)生一次（頻率）？我們對前面三個問題的答案的正確性有多大的把握（確定性）？通過進行內(nèi)部調(diào)查、訪問或舉辦研討會。可以收集到許多類似的信息。信息風(fēng)險管理目前二十七頁\總數(shù)一百零五頁\編于十一點信息風(fēng)險管理資產(chǎn)價值資產(chǎn)可以被賦予定量和定性的度量，不過這些度量方法應(yīng)該有根有據(jù)。資產(chǎn)定價的考慮因素：獲取或開發(fā)該資產(chǎn)所需的成本維護和保護該資產(chǎn)所需要的成本該資產(chǎn)對所有者和用戶所具有的價值該資產(chǎn)對競爭對手所具有的價值只是產(chǎn)權(quán)的價值其他人愿意為購買該資產(chǎn)所付出的價格在損失的情況下更換該資產(chǎn)所需的費用在該資產(chǎn)不可用的情況下?lián)p失的運行和工作能力。該資產(chǎn)貶值時的債務(wù)問題該資產(chǎn)的用處采取什么安全機制和應(yīng)該花費多少資金來進行保護工作的第一步。確定一項資產(chǎn)的價值，還能夠完成一個公司的其他若該需求，包括下面這些。進行有效的成本/收益分析選擇特定的對策和安全措施決定保險責(zé)任范圍了解什么東西正在面臨風(fēng)險資產(chǎn)包括有形資產(chǎn)（計算機、設(shè)施、供給品）或無形資產(chǎn)（聲譽、數(shù)據(jù)、知識產(chǎn)權(quán)）。由于無形資產(chǎn)的價值會隨著時間而變化，所以很難對其進行量化。目前二十八頁\總數(shù)一百零五頁\編于十一點信息風(fēng)險管理威脅和脆弱性的關(guān)系威脅因素可能利用的脆弱性導(dǎo)致的威脅病毒缺少反病毒軟件病毒感染黑客服務(wù)器上運行功能強大的服務(wù)對保密信息的非授權(quán)訪問用戶操作系統(tǒng)中配置錯誤的參數(shù)系統(tǒng)故障火災(zāi)缺少滅火器材設(shè)施和計算機損失，可能造成生命損害雇員松懈的訪問控制；缺少審計損壞重要的關(guān)鍵信息；在數(shù)據(jù)處理應(yīng)用程序中更改輸入輸出承包人松懈的訪問控制機制盜竊商業(yè)機密攻擊者寫的很差的應(yīng)用程序；缺少嚴(yán)格的防火墻設(shè)置造成緩沖區(qū)溢出；進行拒絕服務(wù)攻擊入侵者缺少安全警衛(wèi)打破窗戶，盜竊計算機和設(shè)備目前二十九頁\總數(shù)一百零五頁\編于十一點識別威脅威脅源分析根據(jù)風(fēng)險評估目標(biāo)的業(yè)務(wù)特點、網(wǎng)絡(luò)特點，對現(xiàn)實及潛在的威脅源進行分析，以了解目前主要的威脅源及可能的威脅影響。歷史安全事件分析對風(fēng)險評估目標(biāo)歷史發(fā)生的信息安全事件進行調(diào)研、統(tǒng)計與分析，以了解曾經(jīng)發(fā)生的威脅及產(chǎn)生的威脅影響。實時入侵事件分析通過在重要網(wǎng)段部署入侵檢測系統(tǒng)，對實時發(fā)生的網(wǎng)絡(luò)安全入侵事件進行統(tǒng)計與分析，以了解當(dāng)前發(fā)生的威脅及產(chǎn)生的威脅影響。信息風(fēng)險管理目前三十頁\總數(shù)一百零五頁\編于十一點風(fēng)險分析常見方法風(fēng)險分析方法NISTSP800-30和800-60方法，雖然最初設(shè)計這些方法是為了在醫(yī)療保健領(lǐng)域或其他收官顯得行業(yè)使用。FRAP，即便利的風(fēng)險分析過程。OCTAVE，他又卡梅隆大學(xué)軟件工程學(xué)院設(shè)計，這種方法撞門為管理和指導(dǎo)公司信息安全風(fēng)險評估的人員設(shè)計。CRAMM，這個碎屑詞表示CCTA風(fēng)險分析和管理方法。這種方法的實施過程與我們前面談?wù)摰姆椒愃?，但他分?個部分：對策選擇、威脅和脆弱性分析、資產(chǎn)估價與識別。生成樹分析是一種影響某個系統(tǒng)的所有潛在的威脅和故障以樹狀加以描繪的風(fēng)險評估方法。信息風(fēng)險管理目前三十一頁\總數(shù)一百零五頁\編于十一點定量風(fēng)險方法信息風(fēng)險管理定量的方法是對策的成本和可能發(fā)生的損失大小用具體的數(shù)據(jù)數(shù)字進行量化。在識別威脅和風(fēng)險的可能性的時候，定量的方法也能夠提供具體的可能性百分比。定性的方法將考察各種風(fēng)險的可能性情況，并將各種威脅的嚴(yán)重程度和財產(chǎn)的敏感程度排列順序（一個全面的分析可能包含幾百種情況）。目前三十二頁\總數(shù)一百零五頁\編于十一點安全管理風(fēng)險分析的步驟1、給信息和資產(chǎn)賦予價值2、估計風(fēng)險風(fēng)險的潛在損失.3、進行威脅分析4、對每項威脅計算全部的潛在損失5、減小、轉(zhuǎn)移、避免或是接受風(fēng)險資產(chǎn)的價值是多少。維護需要多少成本。資產(chǎn)的收益。對于競爭對手來說，他的價值是多少。重建和修復(fù)該資產(chǎn)需要多少費用。獲取和開發(fā)該資產(chǎn)需要多少費用。資產(chǎn)損失，你要負(fù)多大的責(zé)任。會造成什么物理損失，這樣帶來多大的成本。生產(chǎn)力損失多少，這會帶來多大的成本？如果保密信息被泄露，損失多少?；謴?fù)過來的成本是多少。關(guān)鍵的設(shè)備出故障，會帶來損失。對每項風(fēng)險和設(shè)施的事故計算單次損失期望值（SLE）。從每個部門的人員那里手機有關(guān)每種風(fēng)險發(fā)生可能性的信息。檢查過去的記錄以及提供數(shù)據(jù)的官方安全資源。計算年發(fā)生概率（ARO），也就是每種威脅在一年中可能發(fā)生的次數(shù)將潛在損失和可能性綜合起來使用前3部中計算得到的信息，對每種威脅計算年損失期望值（ALE）為抵消每項風(fēng)險選擇補救措施為每項措施計算成本/收益值減小風(fēng)險分擔(dān)風(fēng)險：買保險從而將部分或全部風(fēng)險轉(zhuǎn)移接受風(fēng)險：讓分線存在，不花錢采取保護措施避免風(fēng)險：終端危險的操作目前三十三頁\總數(shù)一百零五頁\編于十一點定量風(fēng)險計算的相關(guān)概念信息風(fēng)險管理資產(chǎn)價值×暴露引資（EF）=SLESLE×

年發(fā)生概率（ARO）=ALE單次損失期望值（SLE）和年損失期望值（ALE）。SLE是特定威脅發(fā)生的情況下，反映公司潛在損失數(shù)額的某個單獨的事件所被賦予的財產(chǎn)損失。暴露因子代表一個是在的威脅對于某種特定的資產(chǎn)造成的損失百分比。年發(fā)生概率（ARO）是代表了一年中，某個特定威脅發(fā)生的可能性的值。目前三十四頁\總數(shù)一百零五頁\編于十一點定量風(fēng)險計算的相關(guān)概念風(fēng)險分析方法是定性分析，這種方法不對各個要素和損失賦予數(shù)值和貨幣價值。定性分析技術(shù)包括判斷、直覺和經(jīng)驗。定性分析技術(shù)的例子有Delphi、頭腦風(fēng)暴、情節(jié)串聯(lián)、焦點群體、調(diào)查、問卷、檢查表、一對一會談以及采訪。風(fēng)險分析團隊撰寫了一頁概況，說明黑客攻擊公司內(nèi)部5太文件服務(wù)器訪問呢保密信息的情況，并將它發(fā)給了預(yù)先選定的一個五人小組（IT經(jīng)理、數(shù)據(jù)庫管理員、應(yīng)用程序員、系統(tǒng)操作員和運行部經(jīng)理）。這個預(yù)先選定的團隊對威脅的嚴(yán)重程度、潛在損失和每種安全措施的有效性，用1～5的等級進行排序，1代表最不嚴(yán)重、最不有效或最不可能。威脅=黑客訪問保密信息威脅的嚴(yán)重性威脅發(fā)生的可能性給公司造成的潛在損失防火墻的有效性入侵檢測系統(tǒng)的有效性蜜罐的有效性IT經(jīng)理424432數(shù)據(jù)庫管理員444341應(yīng)用程序員233421系統(tǒng)操作員343421運行部經(jīng)理544442結(jié)果3.63.43.63.831.4信息風(fēng)險管理目前三十五頁\總數(shù)一百零五頁\編于十一點屬性定量的定性的不需要計算

×需要更多的復(fù)雜計算×

設(shè)計大量猜想工作

×提供一般風(fēng)險領(lǐng)域和指標(biāo)

×更容易自動化評估×

用于風(fēng)險管理性能追蹤×

提供可信的成本/收益分析×

使用可驗證而客觀的標(biāo)準(zhǔn)×

提供了那些非常清楚這個過程的職員的意見

×指出了可能在一年之內(nèi)招致的明確損失×

定量VS.定性定量方法缺點評估方法及結(jié)果相對主觀無法為成本/收益分析建立貨幣價值用主觀方法很難追蹤風(fēng)險管理目標(biāo)沒有相應(yīng)的標(biāo)準(zhǔn)。每個供應(yīng)商解釋器評估過程和結(jié)果的方式各不相同定性方法缺點計算更加復(fù)雜。管理層能夠理解這些結(jié)果是怎么計算出來的嗎？沒有自動化的工具可供利用，這個過程完全需要手動完成需要做大量的基礎(chǔ)性工作，手機與環(huán)境有關(guān)的詳細(xì)信息沒有相應(yīng)的標(biāo)準(zhǔn)。每個供應(yīng)商解釋其評估過程和結(jié)果的方式各不相同。信息風(fēng)險管理目前三十六頁\總數(shù)一百零五頁\編于十一點保護機制信息風(fēng)險管理確定風(fēng)險分析的計算后，下一步是確定現(xiàn)行的安全機制并評估他們的效果。安全措施使用的成本/收益計算公式為：安全措施的成本因素：產(chǎn)品成本設(shè)計/計劃成本開發(fā)成本呢環(huán)境修改預(yù)期他對策的兼容性維護需求檢驗需求修復(fù)、提花或省級何曾本運行/支持成本工作能力的有效性預(yù)定成本監(jiān)控和相應(yīng)警報所需的客戶勞力解決這款新工具所早晨的問題的成本（實行安全措施之前的ALE）-（實行安全措施之后的ALE）-（安全措施每年的費用）=安全措施對公司的價值目前三十七頁\總數(shù)一百零五頁\編于十一點基礎(chǔ)模塊提供統(tǒng)一的保護提供否決功能默認(rèn)為最小優(yōu)先級安全措施及其保護的資產(chǎn)相互獨立適應(yīng)性和功能用戶交互用戶和管理員之間的清楚界限最少的人為干預(yù)資產(chǎn)保護容易升級審計功能最小化對其他組件的依賴性容易被職員使用和接受，并能容忍錯誤必須產(chǎn)生可用和可以理解的輸出必須能夠重啟安全措施可檢測不引入其他危害系統(tǒng)和用戶效能普遍應(yīng)用恰當(dāng)?shù)木娌挥绊戀Y產(chǎn)安全措施采購考慮因素信息風(fēng)險管理目前三十八頁\總數(shù)一百零五頁\編于十一點第1步第2步第3部指派資產(chǎn)和信息價值風(fēng)險分析和評估選擇和實施防護措施要進行一項風(fēng)險分析，公司就因該決定應(yīng)該保護那些財產(chǎn)以及保護的程度如何。還應(yīng)該說明保護具體的財產(chǎn)所需的錢數(shù)。應(yīng)該評估依稀可用安全措施的功能，確定那些安全措施對環(huán)境最有力。然后評估一下安全差距、成本，并作出比較。這些步驟和結(jié)果信息能夠保證管理人員的選擇和購買防護措施最初最明智和最有遠見的決定。綜合考慮信息風(fēng)險管理目前三十九頁\總數(shù)一百零五頁\編于十一點信息風(fēng)險管理總風(fēng)險VS.剩余風(fēng)險威脅×脆弱性×資產(chǎn)價值=總風(fēng)險（威脅×脆弱性×資產(chǎn)價值）×控制間隙=剩余風(fēng)險威脅×脆弱性×資產(chǎn)價值=總風(fēng)險（威脅×脆弱性×資產(chǎn)價值）×控制間隙=剩余風(fēng)險剩余風(fēng)險和總風(fēng)險不同，總風(fēng)險值得是某個公司不實行任何安全措施。這種情況下存在的原因是成本/收益分析的結(jié)果。在風(fēng)險評估中，威脅和脆弱性已經(jīng)確定了。這些情況發(fā)生的可能性乘以遭受風(fēng)險的資產(chǎn)的價值，就得到了總風(fēng)險。在控制間隙（控制不能提供的保護）被乘進來以后，結(jié)果就是剩余風(fēng)險。目前四十頁\總數(shù)一百零五頁\編于十一點安全管理成立團隊確定范圍確定方法確定工具了解可接受的風(fēng)險等級確定資產(chǎn)分配資產(chǎn)的價值確定脆弱性和威脅計算風(fēng)險成本/收益分析不確定性分析計劃收集信息定義建議減輕風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險規(guī)避風(fēng)險管理減輕風(fēng)險選擇控制方法實施監(jiān)控轉(zhuǎn)移風(fēng)險購買保險接受風(fēng)險什么也不做規(guī)避風(fēng)險停止活動風(fēng)險管理計劃風(fēng)險處理方法目前四十一頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述高層需要考慮的問題：安全保障應(yīng)能夠在機構(gòu)中的每一層都起到應(yīng)用的作用和功能。應(yīng)該定義安全問題的方位、需要保護那些東西以及需要保護到什么程度。在設(shè)計安全問題的時候，管理人員必須了解他們負(fù)責(zé)的規(guī)章、法律和責(zé)任問題，并保證整個公司都完成了所有這些責(zé)任和義務(wù)。應(yīng)該確定雇員應(yīng)該遵守的規(guī)范以及違反規(guī)范的處理方法。這些決定應(yīng)該由那些再出問題的時候，能夠擔(dān)負(fù)最終責(zé)任的人員來確定。一個安全計劃包含為公司提供全面保護和長遠安全策略必需的所有條款。一個安全計劃應(yīng)該具有安全策略、規(guī)程、標(biāo)準(zhǔn)、方針、基線和安全意識培訓(xùn)、意外處理以及遵守程序。人力資源部和法律部門應(yīng)該加入到開發(fā)和加強這些問題的活動中來。應(yīng)該從實際的角度開發(fā)安全策略、規(guī)程、標(biāo)準(zhǔn)、方針和規(guī)程，以達到最佳效果。高度結(jié)構(gòu)化的機構(gòu)通常都會更加規(guī)范地遵守方針。結(jié)構(gòu)化程度稍差的機構(gòu)可能就需要更多的解釋和強調(diào)，從而促進規(guī)范的遵守。規(guī)則越詳細(xì)，判斷一個人所犯的錯誤就越容易。不過過分瑣碎的文件和規(guī)則可能會增加負(fù)擔(dān)，反而沒有益處。另一方面，在許多時候，規(guī)定越是正式，執(zhí)行起來就越容易。目前四十二頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述目前四十三頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十四頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十五頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十六頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十七頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十八頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前四十九頁\總數(shù)一百零五頁\編于十一點策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針目前五十頁\總數(shù)一百零五頁\