05-ISO IEC 27001：2013-標(biāo)準(zhǔn)系列培訓(xùn)課程-信息安全風(fēng)險(xiǎn)管理.ppt

1、,信息安全風(fēng)險(xiǎn)管理,華夏認(rèn)證中心有限公司 China Certification Center Inc.,ISO/IEC 27001:2013課程,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,溝通 和 磋 商,監(jiān)視和評(píng)審,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,滿足？,風(fēng)險(xiǎn)溝通 和 磋 商,風(fēng)險(xiǎn)監(jiān)視和評(píng)審,風(fēng)險(xiǎn)決策點(diǎn)1 評(píng)估滿足,風(fēng)險(xiǎn)決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程,ISO 31000 風(fēng)險(xiǎn)評(píng)估過(guò)程,信息安全風(fēng)險(xiǎn)管理過(guò)程,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng)

2、險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,溝通 和 磋 商,監(jiān)視和評(píng)審,9. 績(jī)效評(píng)價(jià) ISO/IEC 27001:2013,6.1.3. 信息安全風(fēng)險(xiǎn)處置 ISO/IEC 27001:2013,6.1.2. 信息安全風(fēng)險(xiǎn)評(píng)估 ISO/IEC 27001:2013,7. 支持 ISO/IEC 27001:2013,4. 組織背景 ISO/IEC 27001:2013,信息安全風(fēng)險(xiǎn)管理過(guò)程,ISMS的調(diào)整和 風(fēng)險(xiǎn)管理過(guò)程,信息安全風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,滿足？,風(fēng)險(xiǎn)溝通 和 磋 商,風(fēng)

3、險(xiǎn)監(jiān)視和評(píng)審,風(fēng)險(xiǎn)決策點(diǎn)1 評(píng)估滿足,風(fēng)險(xiǎn)決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險(xiǎn)管理過(guò)程,確定環(huán)境信息,外部環(huán)境信息 內(nèi)部環(huán)境信息,輸入,基本準(zhǔn)則說(shuō)明 范圍和邊界說(shuō)明 組織架構(gòu)說(shuō)明,輸出,確定基本準(zhǔn)則 確定范圍和邊界 確定組織架構(gòu),過(guò)程,實(shí)施指南,確定信息安全風(fēng)險(xiǎn)評(píng)估的宗旨： 支持ISMS 符合法律和盡職調(diào)查的證據(jù) 準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃 準(zhǔn)備事件響應(yīng)計(jì)劃 描述某個(gè)產(chǎn)品、服務(wù)或機(jī)制對(duì)信息安全要求,確定環(huán)境信息,外部環(huán)境信息 external context 組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。 注：外部環(huán)境可包括： 文化、社會(huì)、政治、法律法規(guī)、財(cái)政金融、技術(shù)

4、、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)際、國(guó)家、區(qū)域或地方 對(duì)組織目標(biāo)具有影響的主要驅(qū)動(dòng)和趨勢(shì)。 與外部利益相關(guān)方的關(guān)系和其感受和價(jià)值觀。 ISO 導(dǎo)則 73:2009,定義 ,內(nèi)部環(huán)境信息 internal context 組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。 注：內(nèi)部狀況可包括： 治理、組織結(jié)構(gòu)、作用和責(zé)任； 方針、目標(biāo)、以及實(shí)現(xiàn)它們的戰(zhàn)略； 以資源和知識(shí)來(lái)理解的能力（如資本、時(shí)間、人員、過(guò)程、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流和決策過(guò)程（正式和非正式的）； 與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價(jià)值觀； 組織的文化； 標(biāo)準(zhǔn)、指南和組織采用的模式； 合同關(guān)系的形式和范圍 ISO 導(dǎo)則 73

5、:2009,定義 ,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險(xiǎn)管理方法 根據(jù)風(fēng)險(xiǎn)管理的范圍和目標(biāo)的不同，可能采用不同的方法。 對(duì)于每一循環(huán)，所采用的方法也可能不同。 一個(gè)合適的風(fēng)險(xiǎn)管理方法應(yīng)該選擇或開(kāi)發(fā)基本準(zhǔn)則，如風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、影響準(zhǔn)則、風(fēng)險(xiǎn)接受準(zhǔn)則。,確定環(huán)境信息,風(fēng)險(xiǎn)評(píng)估技術(shù),確定環(huán)境信息,風(fēng)險(xiǎn)評(píng)估技術(shù)的特征,確定環(huán)境信息,風(fēng)險(xiǎn)評(píng)估技術(shù)的特征,確定環(huán)境信息,風(fēng)險(xiǎn)評(píng)估技術(shù)的特征,確定環(huán)境信息,頭腦風(fēng)暴法,確定環(huán)境信息,風(fēng)險(xiǎn)矩陣法,確定環(huán)境信息,風(fēng)險(xiǎn)矩陣法,確定環(huán)境信息,consequence （ 后果）： outcom

6、e of an event (3.3) affecting objectives ISO Guide 73:2009 event （事態(tài)）： occurrence or change of a particular set of circumstances ISO Guide 73:2009 An event can be defined as any detectable or discernible occurrence that has significance for the management of the IT Infrastructure or the delivery of

7、IT service and evaluation of the impact a deviation might cause to the services. ITIL V3 Events are typically notifications created by an IT service, Configuration Item (CI) or monitoring tool. ITIL V3 incident（事件）： An unplanned interruption to an IT service or reduction in the quality of an IT serv

8、ice. Failure of a configuration item that has not yet impacted service is also an incident, for example failure of one disk from a mirror set. ITIL V3,基本概念,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 開(kāi)發(fā)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則應(yīng)考慮如下內(nèi)容： 業(yè)務(wù)信息過(guò)程的戰(zhàn)略價(jià)值 相關(guān)信息資產(chǎn)的危險(xiǎn)程度 法律法規(guī)的要求和合同的義務(wù) 運(yùn)營(yíng)和業(yè)務(wù)可用性、保密性、完整性的重要程度 利益相關(guān)方的期望和認(rèn)知

9、，以及對(duì)信譽(yù)和名聲的負(fù)面影響,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),影響準(zhǔn)則 開(kāi)發(fā)影響準(zhǔn)則應(yīng)考慮如下內(nèi)容，并以信息安全事態(tài)造成的對(duì)組織損害程度或成本的方式來(lái)說(shuō)明： 受影響資產(chǎn)的分類級(jí)別 信息安全的違背（如保密性、完整性和可用性的喪失） 運(yùn)行的受損（內(nèi)部或第三方的） 業(yè)務(wù)或財(cái)務(wù)價(jià)值的損失 對(duì)計(jì)劃和最后期限的破壞 聲譽(yù)的損失 對(duì)法律法規(guī)或合同要求的違背,確定環(huán)境信息,潛在后果/影響定義示例：,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險(xiǎn)接受準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則的常常依賴于組織的方針、

10、目的、目標(biāo)以及利益相關(guān)方的利益。,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險(xiǎn)接受準(zhǔn)則 開(kāi)發(fā)風(fēng)險(xiǎn)可接受準(zhǔn)則時(shí)，應(yīng)該考慮以下方面： 風(fēng)險(xiǎn)接受準(zhǔn)則可以包括帶有風(fēng)險(xiǎn)期望目標(biāo)級(jí)別的多個(gè)閾值，但在確定的情形下，提交給高層管理者接受的風(fēng)險(xiǎn)可能超出該級(jí)別 風(fēng)險(xiǎn)可接受準(zhǔn)則可以用估算收益（或業(yè)務(wù)收益）與估算風(fēng)險(xiǎn)的比值來(lái)描述 對(duì)不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對(duì)法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn) 風(fēng)險(xiǎn)接受準(zhǔn)則可以包括下一步的補(bǔ)充處置要求，例如，如果認(rèn)可或承諾在確定的時(shí)間內(nèi)將采取行動(dòng)以將風(fēng)險(xiǎn)降到可

11、接受級(jí)別，則風(fēng)險(xiǎn)可以被接受,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),風(fēng)險(xiǎn)接受準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則可能因預(yù)計(jì)風(fēng)險(xiǎn)將多長(zhǎng)時(shí)間存在而不同，例如風(fēng)險(xiǎn)可能與一個(gè)臨時(shí)或短期活動(dòng)相關(guān)。設(shè)定風(fēng)險(xiǎn)接受準(zhǔn)則時(shí)，應(yīng)該考慮： 業(yè)務(wù)準(zhǔn)則 法律法規(guī)方面 運(yùn)營(yíng) 技術(shù) 財(cái)務(wù) 社會(huì)和人為因素,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),范圍和邊界 需要定義信息安全風(fēng)險(xiǎn)管理過(guò)程的范圍，以保證在風(fēng)險(xiǎn)評(píng)估過(guò)程中考慮到所有相關(guān)資產(chǎn)。 對(duì)任何排除在范圍之外的，都應(yīng)該提供正當(dāng)?shù)睦碛伞?風(fēng)險(xiǎn)管理范圍可能是一個(gè)IT應(yīng)用、IT基礎(chǔ)設(shè)施、

12、一個(gè)業(yè)務(wù)過(guò)程或組織的某個(gè)界定部分。 需要定義邊界以處理在邊界處呈現(xiàn)的風(fēng)險(xiǎn)。,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),范圍和邊界 在定義范圍和邊界時(shí)，考慮以下信息： 組織的戰(zhàn)略經(jīng)營(yíng)目標(biāo)、戰(zhàn)略和策略 業(yè)務(wù)過(guò)程 組織的職能和結(jié)構(gòu) 適用于組織的法律法規(guī)和合同義務(wù)的要求 組織的信息安全方針 組織風(fēng)險(xiǎn)管理的整體方法 信息資產(chǎn) 組織的位置及其地理特性 影響組織的約束條件 利益相關(guān)方的期望 社會(huì)文化環(huán)境 接口（與環(huán)境交換信息）,確定環(huán)境信息,基本準(zhǔn)則 風(fēng)險(xiǎn)管理方法 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則 影響準(zhǔn)則 風(fēng)險(xiǎn)接受準(zhǔn)則 范圍和邊界 組織架構(gòu),組織架構(gòu) 設(shè)置和維持信息安全

13、風(fēng)險(xiǎn)管理過(guò)程的組織架構(gòu)和職責(zé)，并由管理者批準(zhǔn)。 下面是信息安全風(fēng)險(xiǎn)管理過(guò)程組織架構(gòu)的主要角色和職責(zé)： 開(kāi)發(fā)適合組織的信息安全風(fēng)險(xiǎn)管理過(guò)程 識(shí)別和分析利益相關(guān)方 定義組織內(nèi)、外部各方的角色和職責(zé) 在組織和相關(guān)利益方之間建立必要的聯(lián)系，如組織高風(fēng)險(xiǎn)管理職能的接口（如運(yùn)營(yíng)風(fēng)險(xiǎn)管理），以及與其它項(xiàng)目或活動(dòng)之間的接口 定義決策升級(jí)路徑 說(shuō)明需要保存的記錄,風(fēng)險(xiǎn)評(píng)估,基本準(zhǔn)則 范圍和邊界 組織架構(gòu),輸入,已按優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單,輸出,識(shí)別風(fēng)險(xiǎn) 分析風(fēng)險(xiǎn) 評(píng)價(jià)風(fēng)險(xiǎn),過(guò)程,實(shí)施指南,確定信息資產(chǎn)價(jià)值 識(shí)別適用的威脅 識(shí)別存在或可能存在的脆弱點(diǎn) 識(shí)別現(xiàn)有控制措施及對(duì)已識(shí)別風(fēng)險(xiǎn)的影響 確定潛在后果 風(fēng)險(xiǎn)優(yōu)先級(jí)排

14、序 風(fēng)險(xiǎn)評(píng)估通常會(huì)進(jìn)行兩個(gè)或多個(gè)循環(huán) 先進(jìn)行高級(jí)別風(fēng)險(xiǎn)評(píng)估識(shí)別潛在高風(fēng)險(xiǎn) 后對(duì)潛在高風(fēng)險(xiǎn)做進(jìn)一步的詳細(xì)考慮,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,識(shí)別風(fēng)險(xiǎn)源、影響區(qū)域、事件（包括環(huán)境變化）以及原因和潛在后果。 目的是產(chǎn)生基于哪些可能產(chǎn)生、增強(qiáng)、阻礙、加快或推遲目標(biāo)實(shí)現(xiàn)的事件的風(fēng)險(xiǎn)的綜合表格。 包括其風(fēng)險(xiǎn)源是否在組織控制下的風(fēng)險(xiǎn)，即使風(fēng)險(xiǎn)源或原因不明顯也要識(shí)別。 包括考查特定后果的直接影響，包括聯(lián)鎖和累積影響。 包括識(shí)別什么可能發(fā)生，什么后果可能出現(xiàn)的可能原因和場(chǎng)景。 應(yīng)用適合的目標(biāo)、能力及所面臨風(fēng)險(xiǎn)的風(fēng)險(xiǎn)識(shí)別工具和技術(shù)。 在識(shí)別風(fēng)險(xiǎn)時(shí)，最新的信息是重要的，包括可能的適當(dāng)背景信息。 具有適當(dāng)知

15、識(shí)的人員宜參與到識(shí)別風(fēng)險(xiǎn)中。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),環(huán)境信息確定的范圍和邊界 由所有者、位置和功能等構(gòu)成的清單,輸入,資產(chǎn)清單 與資產(chǎn)相關(guān)的業(yè)務(wù)過(guò)程清單及相互關(guān)系,輸出,在范圍內(nèi)識(shí)別信息資產(chǎn),活動(dòng),實(shí)施指南,資產(chǎn)是對(duì)組織有價(jià)值的任何東西 每個(gè)資產(chǎn)要有資產(chǎn)所有者，并安排職責(zé)和責(zé)任 資產(chǎn)所有者可能并不對(duì)資產(chǎn)擁有所有權(quán)，但對(duì)資產(chǎn)的產(chǎn)生、開(kāi)發(fā)、維護(hù)、使用有適當(dāng)保護(hù)責(zé)任,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資

16、產(chǎn)分類舉例： 基本資產(chǎn) 業(yè)務(wù)過(guò)程或活動(dòng) 信息,支持性資產(chǎn)（基本資產(chǎn)所依賴的范圍） 硬件 軟件 網(wǎng)絡(luò) 人員 場(chǎng)所 組織架構(gòu),信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),信息資產(chǎn)分類舉例,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,業(yè)務(wù)與支持性資產(chǎn)之間的關(guān)系 OBASHI方法論評(píng)估業(yè)務(wù)運(yùn)作的以下六個(gè)“層次”,前兩個(gè)層次研究業(yè)務(wù)運(yùn)作的方式，后四個(gè)層次研究支持這些運(yùn)作活動(dòng)的 IT 資產(chǎn)： Ownership（利益相關(guān)者） Business Process（業(yè)務(wù)流程） Application（應(yīng)用程序） System（操作系統(tǒng)） Hardware（硬件） Infra

17、structure（基礎(chǔ)架構(gòu)）,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),所有權(quán),業(yè)務(wù)流程,應(yīng)用程序,系統(tǒng),硬件,基礎(chǔ)架構(gòu),產(chǎn)品與價(jià)格,創(chuàng)建訂單,RoodMan SafeSeller,價(jià)格,訂單表,產(chǎn)品,Microsoft SQL Server 2005,客戶訂單處理,銷售經(jīng)理,Windows XP,服務(wù)器,3G Modem,網(wǎng)絡(luò)安全,訂單執(zhí)行,發(fā)票生成,IT經(jīng)理,供應(yīng)總監(jiān),財(cái)務(wù)總監(jiān),軟防火墻,QL Server,ABC Accounts,Linux,W 2000,W S 2003,硬防火墻,服務(wù)器,服務(wù)器,新訂單,發(fā)票生成,交換機(jī),主干網(wǎng),DMZ

18、交換機(jī),Modem,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),Ownership（利益相關(guān)者） Business Process（業(yè)務(wù)流程） Application（應(yīng)用程序） System（操作系統(tǒng)） Hardware（硬件） Infrastructure（基礎(chǔ)架構(gòu)）,信息技術(shù)服務(wù)生命周期（規(guī)劃、建設(shè)、運(yùn)維）,OBASHI模型,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),服務(wù),服務(wù)業(yè)務(wù),應(yīng)用系統(tǒng),通用軟件,硬件設(shè)備,物理位置,I

19、T區(qū)域,網(wǎng)絡(luò)設(shè)施,生產(chǎn),災(zāi)備,保險(xiǎn)類,投資類,核心類,輔助類,內(nèi)部管理類,操作系統(tǒng),中間件,數(shù)據(jù)庫(kù),存儲(chǔ),主機(jī),負(fù)載均衡,總部,分支機(jī)構(gòu),接入?yún)^(qū),核心區(qū),辦公區(qū),路由器,交換機(jī),防火墻,測(cè)試,基礎(chǔ)設(shè)施,電源,空調(diào),客服類,數(shù)據(jù)中心,安防,機(jī)房位置,機(jī)房1,機(jī)房3,機(jī)房2,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),事件評(píng)審的結(jié)果 資產(chǎn)所有者、使用者 外部提供的威脅清單 其他來(lái)源,輸入,包含威脅類型和威脅來(lái)源的威脅清單,輸出,識(shí)別威脅和威脅來(lái)源,活動(dòng),實(shí)施指南,威脅是對(duì)信息、過(guò)程和系統(tǒng)等資產(chǎn)構(gòu)成的潛在損害，由此組織

20、帶來(lái)的損害 威脅可能是自然的或人為的，也可能是意外的或故意的，也可能是組織內(nèi)部的或外部的 威脅類型可能是非授權(quán)行為、物理?yè)p壞和技術(shù)失效 威脅是持續(xù)變化的，特別是當(dāng)業(yè)務(wù)環(huán)境或信息系統(tǒng)發(fā)生變化時(shí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,威脅等級(jí)示例,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分

21、析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),控制措施文檔 風(fēng)險(xiǎn)處置實(shí)施計(jì)劃,輸入,所有現(xiàn)有或計(jì)劃的控制措施清單 控制措施實(shí)施和使用狀況,輸出,識(shí)別現(xiàn)有控制措施 識(shí)別已計(jì)劃控制措施,活動(dòng),實(shí)施指南,識(shí)別現(xiàn)有控制措施時(shí)應(yīng)檢查其工作有效性 控制措施沒(méi)有預(yù)期工作，會(huì)形成脆弱點(diǎn) 估算控制措施效果的方法是，看它怎樣降低威脅發(fā)生的可能性、消除暴露的脆弱點(diǎn)或降低事件的影響 按照風(fēng)險(xiǎn)處置計(jì)劃將要實(shí)施的控制措施應(yīng)該視同已經(jīng)實(shí)施的控制措施,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別

22、,風(fēng)險(xiǎn)優(yōu)先級(jí),已知的威脅清單 已知的資產(chǎn)清單 現(xiàn)有的控制措施清單,輸入,與資產(chǎn)、威脅和控制措施相關(guān)的脆弱點(diǎn)清單 待評(píng)審的與已識(shí)別威脅不相關(guān)的脆弱點(diǎn)清單,輸出,識(shí)別可被威脅利用的資產(chǎn)的脆弱點(diǎn) 識(shí)別可對(duì)組織造成損害的脆弱點(diǎn),活動(dòng),實(shí)施指南,脆弱點(diǎn)的存在本身不會(huì)形成損害，它需要被某個(gè)威脅利用 如果脆弱點(diǎn)沒(méi)有對(duì)應(yīng)的威脅，則可不需要實(shí)施控制措施，但要監(jiān)視其變化 控制措施錯(cuò)誤實(shí)施、失效或錯(cuò)誤使用本身也是一個(gè)脆弱點(diǎn) 如果威脅沒(méi)有對(duì)應(yīng)的脆弱點(diǎn)，也不會(huì)導(dǎo)致風(fēng)險(xiǎn)發(fā)生 需要考慮不同來(lái)源的脆弱點(diǎn)，內(nèi)在的或外來(lái)的,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)

23、險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,技術(shù)脆弱性評(píng)估方法（信息系統(tǒng)測(cè)試） 漏洞自動(dòng)掃描工具 用于針對(duì)已知的脆弱服務(wù)，掃描一組主機(jī)或網(wǎng)絡(luò)（如系統(tǒng)允許匿名的文件傳輸協(xié)議(FTP)，郵件轉(zhuǎn)發(fā)）。 應(yīng)該注意，自動(dòng)識(shí)別的某些潛在脆弱點(diǎn)在系統(tǒng)環(huán)境背景下可能并不是真正的脆弱點(diǎn)。例如，某些掃描工具在對(duì)潛在脆弱點(diǎn)進(jìn)行定級(jí)時(shí)，并不考慮場(chǎng)所環(huán)境和要求。 自動(dòng)掃描軟件標(biāo)識(shí)的某些脆弱點(diǎn)對(duì)于特定場(chǎng)所可能并不是脆弱點(diǎn)，而且因環(huán)境要求必須如此配置。 因此，本測(cè)試方法可能報(bào)告虛假脆弱點(diǎn)。 安全測(cè)試和評(píng)價(jià)（STE） 是在風(fēng)險(xiǎn)評(píng)估過(guò)程中識(shí)別ICT系統(tǒng)脆弱點(diǎn)的另外一個(gè)方法。 它包括開(kāi)發(fā)和執(zhí)行一個(gè)測(cè)試計(jì)劃（如，測(cè)

24、試腳本、測(cè)試過(guò)程和預(yù)期的測(cè)試結(jié)果）。 系統(tǒng)安全測(cè)試的目的是測(cè)試已經(jīng)應(yīng)用到某個(gè)運(yùn)行環(huán)境中的ICT系統(tǒng)的安全控制措施的有效性。 目標(biāo)是保證應(yīng)用的控制措施滿足已認(rèn)可的軟、硬件安全規(guī)范，滿足組織的安全方針或行業(yè)標(biāo)準(zhǔn)。,滲透測(cè)試 用作安全控制措施評(píng)審的補(bǔ)充，以保證ICT系統(tǒng)的不同方面都是安全的。 滲透測(cè)試可用于評(píng)估一個(gè)信息和通信技術(shù)系統(tǒng)防止企圖繞過(guò)系統(tǒng)安全措施的能力。 目的是從威脅源的視點(diǎn)來(lái)測(cè)試ICT系統(tǒng)，以識(shí)別ICT系統(tǒng)保護(hù)方案的潛在失效點(diǎn)。 代碼評(píng)審 最為徹底（也可能是最為昂貴）的漏洞評(píng)估方式。這些安全測(cè)試的結(jié)果將有助于識(shí)別系統(tǒng)的脆弱點(diǎn)。 特別需要注意，滲透工具和技術(shù)可能提供虛假的結(jié)果，除非脆弱點(diǎn)被

25、成功利用。 為利用特定的脆弱點(diǎn)，需要知道被測(cè)試系統(tǒng)的系統(tǒng)、應(yīng)用、補(bǔ)丁的準(zhǔn)確設(shè)置。 如果在進(jìn)行測(cè)試時(shí)，不知道這些數(shù)據(jù)，可能難以成功利用特定的脆弱點(diǎn)（例如，獲取遠(yuǎn)程逆轉(zhuǎn)界面）；然而，還是可能導(dǎo)致崩潰或重新啟動(dòng)進(jìn)程和系統(tǒng)。在這種情形，應(yīng)該認(rèn)為被測(cè)試對(duì)象是存在脆弱點(diǎn)的。 方法包括以下活動(dòng)： 人員和用戶訪談 調(diào)查問(wèn)卷 物理檢查 分析文件,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),資產(chǎn)清單 業(yè)務(wù)過(guò)程清單 威脅和脆弱點(diǎn)清單 資產(chǎn)相關(guān)關(guān)系,輸

26、入,資產(chǎn)和業(yè)務(wù)過(guò)程相關(guān)的事件場(chǎng)景清單,輸出,識(shí)別資產(chǎn)喪失保密性、完整性和可用性的后果,活動(dòng),實(shí)施指南,后果可能是有效性的喪失、不利的運(yùn)行環(huán)境、業(yè)務(wù)的喪失、名譽(yù)的損失和損害等 事件場(chǎng)景是對(duì)在信息安全事件中威脅利用某個(gè)特定的脆弱點(diǎn)或一組脆弱點(diǎn)的描述 根據(jù)在確定環(huán)境信息活動(dòng)中所定義的影響準(zhǔn)則，確定事件場(chǎng)景的影響 按資產(chǎn)的財(cái)務(wù)成本和資產(chǎn)破壞或損壞后帶來(lái)的業(yè)務(wù)影響對(duì)資產(chǎn)賦值,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)分析包括考慮風(fēng)險(xiǎn)的原因和來(lái)源，以及所帶來(lái)的正面和負(fù)面的后果及這些后果發(fā)生的可能性。 現(xiàn)有的控制措施和其效果和效率也宜被考慮在內(nèi)。 考慮不同風(fēng)險(xiǎn)和其源的相互依賴關(guān)系。 依據(jù)環(huán)境條件，風(fēng)險(xiǎn)分析

27、可以定性的、半定量或定量的，也可以是組合的方式。 后果和其可能性可以通過(guò)模擬一個(gè)或一系列事件的結(jié)果，或由實(shí)驗(yàn)研究或可用數(shù)據(jù)推斷確定。 后果可基于有形和無(wú)形的影響表述。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,定性風(fēng)險(xiǎn)分析： 定性風(fēng)險(xiǎn)采用級(jí)別分級(jí)屬性（如低、中、高）來(lái)描述潛在后果的嚴(yán)重性和潛在后果發(fā)生的可能性。 定性風(fēng)險(xiǎn)分析的優(yōu)點(diǎn)是易于所有相關(guān)人員的理解，同時(shí)其弱點(diǎn)是級(jí)別選擇對(duì)主觀判斷的依賴。 可以對(duì)級(jí)別進(jìn)行修訂或調(diào)整，以適應(yīng)環(huán)境，并為不同的風(fēng)險(xiǎn)采用不同的描述。 定性風(fēng)險(xiǎn)分析可以用于： 作為最初的篩選活動(dòng)，以識(shí)

28、別需要進(jìn)一步具體分析的風(fēng)險(xiǎn) 當(dāng)定性分析適合于決策時(shí) 當(dāng)量化數(shù)據(jù)不足以進(jìn)行定量估算時(shí) 定性分析應(yīng)該使用可用的真實(shí)的信息和數(shù)據(jù)。,定量風(fēng)險(xiǎn)分析： 定量風(fēng)險(xiǎn)分析通過(guò)不同來(lái)源的數(shù)據(jù)，使用數(shù)字化的級(jí)別來(lái)描述后果和可能性（而不是定性風(fēng)險(xiǎn)分析中所使用的描述性級(jí)別）。 分析的質(zhì)量依賴于量化數(shù)字的準(zhǔn)確性和完整性，以及所使用模型的有效性。 在很多情況下，定量風(fēng)險(xiǎn)分析使用歷史事件數(shù)據(jù)， 優(yōu)勢(shì)是其直接與信息安全目標(biāo)和組織所關(guān)心的問(wèn)題相關(guān)。 不足是缺乏新的風(fēng)險(xiǎn)或信息安全弱點(diǎn)的數(shù)據(jù)。 當(dāng)無(wú)法獲得真實(shí)和可審計(jì)數(shù)據(jù)時(shí)，將顯示定量方法的不足，因?yàn)檫@將導(dǎo)致風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性和價(jià)值的假象。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果

29、嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),已識(shí)別的事件場(chǎng)景，包括：識(shí)別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過(guò)程的后果,輸入,用資產(chǎn)和影響準(zhǔn)則表示的事件場(chǎng)景評(píng)定后果的清單,輸出,考慮違背信息安全，喪失資產(chǎn)的（保密性、完整性、可用性）的基礎(chǔ)上），評(píng)估可能或?qū)嶋H導(dǎo)致的業(yè)務(wù)的影響,活動(dòng),實(shí)施指南,識(shí)別所有資產(chǎn)并評(píng)審后，在評(píng)估后果的同時(shí)給資產(chǎn)賦值 通過(guò)以下兩種措施來(lái)確定資產(chǎn)價(jià)值： 資產(chǎn)的替代價(jià)值：恢復(fù)清理和替換信息所需的成本，以及 資產(chǎn)喪失或損壞的業(yè)務(wù)后果：如信息或其他信息

30、資產(chǎn)的泄密、修改、不可用和/或破壞帶來(lái)的潛在業(yè)務(wù)負(fù)面影響和/或法律后果 可以從業(yè)務(wù)影響分析來(lái)確定賦值,風(fēng)險(xiǎn)評(píng)估,潛在后果/影響定義示例：,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),已識(shí)別的事件場(chǎng)景，包括：識(shí)別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過(guò)程的后果 現(xiàn)有和計(jì)劃的控制措施清單，以及控制措施有效性、實(shí)施和使用狀態(tài),輸入,事件場(chǎng)景的可能性（定性的或定量的）,輸出,評(píng)估事件場(chǎng)景的可能性,活動(dòng),實(shí)施指南,識(shí)別事件場(chǎng)景后，需要利用定性或定量分析技術(shù)對(duì)每一場(chǎng)景的可能性和產(chǎn)生的影響進(jìn)行評(píng)估 考慮威脅發(fā)生經(jīng)常性和脆弱

31、點(diǎn)被利用的容易度,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,事件發(fā)生可能性示例,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),事件場(chǎng)景清單產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過(guò)程的后果和可能性,輸入,分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單,輸出,對(duì)事件場(chǎng)景確定風(fēng)險(xiǎn)級(jí)別,活動(dòng),實(shí)施指南,對(duì)風(fēng)險(xiǎn)的可能性和后果進(jìn)行賦值（定性或量） 估計(jì)的風(fēng)險(xiǎn)是某個(gè)事件場(chǎng)景的可能性及其后果的組合,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性

32、,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),組合風(fēng)險(xiǎn)矩陣,風(fēng)險(xiǎn)評(píng)估,定性風(fēng)險(xiǎn)矩陣,風(fēng)險(xiǎn)評(píng)估,定量風(fēng)險(xiǎn)矩陣,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)的目的是，基于風(fēng)險(xiǎn)分析的結(jié)果，幫助做出有關(guān)風(fēng)險(xiǎn)需要處理和處理實(shí)施優(yōu)先的決策。 風(fēng)險(xiǎn)評(píng)價(jià)包括將分析過(guò)程中確定的風(fēng)險(xiǎn)程度與在明確環(huán)境時(shí)建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較。 決策宜考慮更為寬泛風(fēng)險(xiǎn)含義，包括考慮風(fēng)險(xiǎn)獲益組織外的團(tuán)體對(duì)風(fēng)險(xiǎn)的容忍性。 決策宜依據(jù)法律法規(guī)和其他要求做出。 在某些情況下，風(fēng)險(xiǎn)評(píng)價(jià)可導(dǎo)致對(duì)決策的進(jìn)一步分析。 風(fēng)險(xiǎn)評(píng)價(jià)也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險(xiǎn)的決策。,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別

33、,風(fēng)險(xiǎn)優(yōu)先級(jí),風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)評(píng)估,信息資產(chǎn),威脅,控制措施,脆弱性,后果,后果嚴(yán)重性,發(fā)生可能性,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)優(yōu)先級(jí),分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則,輸入,將事件場(chǎng)景導(dǎo)致的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單,輸出,風(fēng)險(xiǎn)級(jí)別與風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行比較,活動(dòng),實(shí)施指南,用于制定決策的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則應(yīng)該與已定義的內(nèi)外部風(fēng)險(xiǎn)管理環(huán)境信息相一致，并考慮組織的目標(biāo)和利益相關(guān)方的觀點(diǎn)。 在風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)中采取的決策主要基于風(fēng)險(xiǎn)可接受級(jí)別。 同時(shí)應(yīng)該考慮后果、可能性以及風(fēng)險(xiǎn)識(shí)別和分析的可信程度。 多個(gè)低或中風(fēng)險(xiǎn)的組合，可能導(dǎo)致更高的綜合風(fēng)險(xiǎn)，并需要進(jìn)行相應(yīng)的處理。,

34、信息安全風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,滿足？,風(fēng)險(xiǎn)溝通 和 磋 商,風(fēng)險(xiǎn)監(jiān)視和評(píng)審,風(fēng)險(xiǎn)決策點(diǎn)1 評(píng)估滿足,風(fēng)險(xiǎn)決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng)險(xiǎn)處置,已按風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單,輸入,風(fēng)險(xiǎn)處置計(jì)劃 殘余風(fēng)險(xiǎn)報(bào)告,輸出,選擇風(fēng)險(xiǎn)處置選項(xiàng) 制定風(fēng)險(xiǎn)處置計(jì)劃,過(guò)程,實(shí)施指南,風(fēng)險(xiǎn)處置選項(xiàng)應(yīng)基于風(fēng)險(xiǎn)評(píng)估的結(jié)果和實(shí)施這些選項(xiàng)的預(yù)計(jì)成本及預(yù)期收益來(lái)選擇 如果某一選項(xiàng)可以通過(guò)相對(duì)較低的花費(fèi)大幅度降低風(fēng)險(xiǎn)，則應(yīng)該實(shí)施該選項(xiàng) 管理者應(yīng)該考慮罕見(jiàn)

35、但嚴(yán)重的風(fēng)險(xiǎn)，在這種情形下，可能需要實(shí)施控制措施，而不會(huì)嚴(yán)格按經(jīng)濟(jì)性進(jìn)行判斷 風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該清晰定義所列出的單個(gè)需要實(shí)施的風(fēng)險(xiǎn)處置項(xiàng)的優(yōu)先級(jí)，以及實(shí)施的期限,風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)處置活動(dòng),風(fēng) 險(xiǎn) 處 置,風(fēng)險(xiǎn)處置選項(xiàng),風(fēng)險(xiǎn)降低,令人滿意的處置,風(fēng)險(xiǎn)保持,風(fēng)險(xiǎn)回避,風(fēng)險(xiǎn)轉(zhuǎn)移,殘余風(fēng)險(xiǎn),滿意的評(píng)估,風(fēng)險(xiǎn)評(píng)估結(jié)果,風(fēng)險(xiǎn)決策點(diǎn)1,風(fēng)險(xiǎn)決策點(diǎn)2,風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)處理方案不必互相排斥或適宜所有情況。方案可以包括以下內(nèi)容: 通過(guò)決定不開(kāi)展或停止產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)，來(lái)規(guī)避風(fēng)險(xiǎn)； 為尋求機(jī)會(huì)，接受或提高風(fēng)險(xiǎn)； 消除風(fēng)險(xiǎn)源； 改變可能性； 改變后果； 與另一方或多方共擔(dān)風(fēng)險(xiǎn)（包括合約和風(fēng)險(xiǎn)融資）； 通過(guò)有事實(shí)依據(jù)的決策，保

36、留風(fēng)險(xiǎn)。,風(fēng)險(xiǎn)處理包括選擇一種或幾種修正風(fēng)險(xiǎn)的方案，以及實(shí)施那些方案。 風(fēng)險(xiǎn)處理包括了一個(gè)循環(huán)過(guò)程： 評(píng)價(jià)風(fēng)險(xiǎn)處理； 確定殘留風(fēng)險(xiǎn)程度是否可容許； 如果不可容許，產(chǎn)生新的風(fēng)險(xiǎn)處理； 評(píng)價(jià)該處理的有效性。,風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)保持：也叫接受風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)，決定不采取進(jìn)一步的活動(dòng)而保持風(fēng)險(xiǎn)。接受準(zhǔn)則。 風(fēng)險(xiǎn)降低：也叫控制風(fēng)險(xiǎn)，引進(jìn)、去除或修改控制措施，以至于殘余風(fēng)險(xiǎn)能被再評(píng)估，成為可接受的。 措施選擇。 風(fēng)險(xiǎn)回避：避免風(fēng)險(xiǎn)，是直接消極或去除某些風(fēng)險(xiǎn)，例如一個(gè)組織可以通過(guò)禁止網(wǎng)絡(luò)連接來(lái)避免遠(yuǎn)程攻擊；但是，不是所有的風(fēng)險(xiǎn)都是可以消極避免，例如，一個(gè)專業(yè)的電子商務(wù)網(wǎng)站就不能通過(guò)禁止網(wǎng)絡(luò)連接來(lái)消除遠(yuǎn)程攻擊的

37、風(fēng)險(xiǎn)。成本分擔(dān)。 風(fēng)險(xiǎn)轉(zhuǎn)移：也叫轉(zhuǎn)移風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，將風(fēng)險(xiǎn)轉(zhuǎn)移到能最有效的管理這個(gè)特定風(fēng)險(xiǎn)的其他方，例如，產(chǎn)品沒(méi)有出保質(zhì)期，這樣可用性面臨的風(fēng)險(xiǎn)就部分地轉(zhuǎn)移給供應(yīng)商。機(jī)會(huì)效率。,風(fēng)險(xiǎn)處置選項(xiàng),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)控制,減少,降低,威脅,脆弱性,可能性,影響,預(yù)防性控制措施,補(bǔ)救性控制措施,形成,風(fēng)險(xiǎn),威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險(xiǎn)處置,什么是控制措施 管理風(fēng)險(xiǎn)的方法。為達(dá)成組織目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險(xiǎn)。 它們可以是行政、技術(shù)、管理、法律等方面的措施。 控制措施的分類： 預(yù)防性控制措施 檢查性控制措施 糾正性控制措施,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)

38、險(xiǎn)處置,預(yù)防性控制措施：在問(wèn)題發(fā)生前，并作出糾正 僅雇傭勝任的人員 職責(zé)分工 使用訪問(wèn)控制軟件，只允許授權(quán)用戶訪問(wèn)敏感文件 檢查性控制措施：檢查控制發(fā)生的錯(cuò)誤、疏漏或蓄意行為 網(wǎng)絡(luò)通信過(guò)程中的Echo控制 內(nèi)部審計(jì) 糾正性控制措施：減少危害影響，修復(fù)檢查性控制發(fā)現(xiàn)的問(wèn)題 意外處理計(jì)劃 備份流程 恢復(fù)運(yùn)營(yíng)流程,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險(xiǎn)處置,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,Information Security Incident 信息安全事件管理 BCM 業(yè)務(wù)連續(xù)性管理,Human 人員安全,Physical 物理安全,Information System

39、 系統(tǒng)獲得/開(kāi)發(fā)/維護(hù),Operation 操作安全,Access Control 訪問(wèn)控制 Access Control 訪問(wèn)控制,Asset 資產(chǎn)管理 Organization 組織安全,Policy 方針目標(biāo),Compliance 合規(guī)性,Compliance 合規(guī)性,Compliance 合規(guī)性,Compliance 合規(guī)性,Communication 通信安全,Supplier 供應(yīng)關(guān)系,Cryptography 密碼學(xué),風(fēng)險(xiǎn)處置,控制措施制定思路 決策層控制策略 管理層控制程序 執(zhí)行層控制制度 操作層控制記錄,控制措施,威脅、脆弱性和控制措施的關(guān)系示意圖,風(fēng)險(xiǎn)處置,準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處

40、置計(jì)劃 選擇最合適的風(fēng)險(xiǎn)處理方案包括，針對(duì)以法律法規(guī)和諸如社會(huì)責(zé)任和自然環(huán)境保護(hù)的其他要求所獲得的利益，平衡成本和實(shí)施的工作量。決策也宜考慮可以批準(zhǔn)在經(jīng)濟(jì)層面上不合理的風(fēng)險(xiǎn)處理的風(fēng)險(xiǎn)，例如，嚴(yán)重的（高負(fù)面后果）但稀少（低可能性）的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)處理計(jì)劃的目的是將如何實(shí)施已選擇的處理措施形成文件。將要實(shí)施的風(fēng)險(xiǎn)處理方案。處理計(jì)劃中提供的信息宜包括： 選擇風(fēng)險(xiǎn)處理措施的原因，包括所期待獲得的效益； 負(fù)責(zé)改進(jìn)和實(shí)施計(jì)劃的人員； 建議的措施； 資源需求，包括緊急情況時(shí)； 績(jī)效測(cè)量和控制； 匯報(bào)及監(jiān)測(cè)要求； 時(shí)間和日程安排。 處理計(jì)劃宜組織管理過(guò)程整合并與適當(dāng)?shù)睦嫦嚓P(guān)方討論。 決策者和其他利益相關(guān)方宜意

41、識(shí)到風(fēng)險(xiǎn)處理后殘留風(fēng)險(xiǎn)的性質(zhì)和程度。殘留風(fēng)險(xiǎn)宜形成文件并進(jìn)行監(jiān)測(cè)、評(píng)審，適當(dāng)時(shí)，進(jìn)一步處理。,信息安全風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,滿足？,風(fēng)險(xiǎn)溝通 和 磋 商,風(fēng)險(xiǎn)監(jiān)視和評(píng)審,風(fēng)險(xiǎn)決策點(diǎn)1 評(píng)估滿足,風(fēng)險(xiǎn)決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng)險(xiǎn)接受,風(fēng)險(xiǎn)處置計(jì)劃 殘余風(fēng)險(xiǎn)報(bào)告,輸入,未能滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則，但被接受的風(fēng)險(xiǎn)清單，并附帶接受的理由,輸出,風(fēng)險(xiǎn)接受決策 記錄風(fēng)險(xiǎn)決策接受責(zé)任,過(guò)程,實(shí)施指南,風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該描述怎樣處置被評(píng)估的風(fēng)險(xiǎn)以滿足風(fēng)

42、險(xiǎn)接受準(zhǔn)則。 承擔(dān)責(zé)任的管理者對(duì)被提議的風(fēng)險(xiǎn)處置計(jì)劃和隨之而來(lái)的殘余風(fēng)險(xiǎn)的評(píng)審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件。 在某些情形，殘余風(fēng)險(xiǎn)的級(jí)別可能不滿足風(fēng)險(xiǎn)接受準(zhǔn)則，因?yàn)槟壳斑m用的準(zhǔn)則，沒(méi)有考慮到當(dāng)前的情形，可能修訂風(fēng)險(xiǎn)接受準(zhǔn)則。,信息安全風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,滿足？,風(fēng)險(xiǎn)溝通 和 磋 商,風(fēng)險(xiǎn)監(jiān)視和評(píng)審,風(fēng)險(xiǎn)決策點(diǎn)1 評(píng)估滿足,風(fēng)險(xiǎn)決策點(diǎn)2 處置滿足,NO,NO,YES,YES,第一次結(jié)束 或隨后重復(fù),信息安全風(fēng)險(xiǎn)管理過(guò)程,溝通與磋商,溝通與磋商 與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險(xiǎn)管理過(guò)程所

43、有階段進(jìn)行。因此，溝通和協(xié)商計(jì)劃宜在早期制定。該計(jì)劃宜針對(duì)與風(fēng)險(xiǎn)本身、風(fēng)險(xiǎn)成因、風(fēng)險(xiǎn)后果（如果掌握）以及處理風(fēng)險(xiǎn)措施相關(guān)的問(wèn)題。為確保實(shí)施風(fēng)險(xiǎn)管理過(guò)程的職責(zé)明確，以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。 協(xié)商團(tuán)隊(duì)方法可以： 適當(dāng)?shù)貛椭鞔_狀況； 確保利益相關(guān)方的利益被理解和考慮； 幫助確保風(fēng)險(xiǎn)充分地被識(shí)別； 將不同領(lǐng)域的專業(yè)知識(shí)一并用于分析風(fēng)險(xiǎn)； 確保在界定風(fēng)險(xiǎn)準(zhǔn)則和評(píng)定風(fēng)險(xiǎn)時(shí)，不同的觀點(diǎn)被恰當(dāng)?shù)乜紤]； 確保認(rèn)同和支持處理計(jì)劃； 加強(qiáng)在風(fēng)險(xiǎn)管理過(guò)程中的變更管理； 制定一個(gè)恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計(jì)劃。 與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對(duì)

44、風(fēng)險(xiǎn)的感知，做出了對(duì)風(fēng)險(xiǎn)的判斷。這些感知可以由于利益相關(guān)方的價(jià)值觀、需求、臆斷、概念和關(guān)注點(diǎn)的不同而變化。由于利益相關(guān)方的觀點(diǎn)會(huì)對(duì)決策產(chǎn)生重大影響，因此他們的感知以被識(shí)別、記錄、以及在決策過(guò)程中考慮。 溝通和協(xié)商宜提供真實(shí)的、相關(guān)的、準(zhǔn)確的、便于理解的交流信息，同時(shí)宜考慮到保密和個(gè)人誠(chéng)實(shí)因素。,溝通與磋商,風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息,輸入,對(duì)組織信息安全風(fēng)險(xiǎn)管理過(guò)程和結(jié)果的持續(xù)理解,輸出,在決策者和其他利益方之間交換或共享有關(guān)風(fēng)險(xiǎn)的信息,過(guò)程,實(shí)施指南,風(fēng)險(xiǎn)溝通是通過(guò)在決策者或其他相關(guān)利益方之間交換和/或共享風(fēng)險(xiǎn)信息就如何管理風(fēng)險(xiǎn)協(xié)商一致的活動(dòng)。 這些信息包括但不限于，風(fēng)險(xiǎn)的存在方式、性質(zhì)、形式、可能性、嚴(yán)重性、處置和可接受性。 確保能夠識(shí)別利益相關(guān)方的風(fēng)險(xiǎn)認(rèn)知以及他們對(duì)收益認(rèn)知，并形成文件，以及深層的原因得到理解和處理。 組織應(yīng)該為正常的運(yùn)行和緊急情形制定風(fēng)險(xiǎn)溝通計(jì)劃。,信息安全風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理過(guò)程,風(fēng) 險(xiǎn) 評(píng) 估,環(huán)境建立,風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)價(jià),風(fēng)險(xiǎn)處置,風(fēng)險(xiǎn)接受,滿足？,