风险评估课程内容分享

风险评估1认识风险2风险管理体系3风险评估方法4风险评估的实施过程课程内容1认识风险1.1参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素课程内容2风险管理体系课程内容2.1风险管理的概念2.2风险管理体系介绍2.2.1ISO177992.2.2AS/NZS43602.2.3GAO/AIMD98-683风险评估的方法课程内容3.1风险评估方法概述3.2定量的风险评估3.3定性的风险评估3.4基于要素的风险评估3.5定性风险评估与定量评估的比较4OCTAVE风险评估的实施过程课程内容课程练习练习1识别风险练习2定性的风险评估练习3基于要素的风险评估练习一识别风险1.请列举五个信息安全的风险的例子，并按下面的要求进行描述。2.要求：按照资产－资产所面临的威胁－可能被威胁利用的脆弱点的顺序来描述每一个风险。1.对练习一中所识别的风险进行定性分析。2.要求：1）列出后果和可能性的定性描述级别2）依据风险分析矩阵评估风险的级别3）给出各级别风险的处理措施练习二定性的风险评估背景：–业务部门中有极机密的交易及客户资料–这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理–业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料请分组讨论–威胁–脆弱性–风险等级如何？练习三基于要素的风险评估注意事项－积极参与，活跃气氛－守时－移动电话设置到静音状态－紧急情况下有秩序疏散1.1参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素1认识风险1.1重要参考资料ISO133351779915408BS7799-2BSIPD3000AS/NZS4360OCTAVEGAO/AIMD98-681.2风险评估的目的组织为什么要进行风险评估？组织实现信息安全的必要的、重要的步骤风险评估的目的1.2风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据1.3风险的定义普通字典的解释：风险：遭受损害或损失的可能性。AS/NZS4360：澳大利亚/新西兰国家标准：风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。Risk:thechanceofsomethinghappeningthatwillhaveonimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.1.3风险的定义后果Consequence以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。可能性Likelihood用作对几率或频率的定性描述。几率Probability以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。频率Frequency以规定时间内所发生的次数来表达的事件发生率的度量。1.3风险的定义与风险有关的名词：ISO/IECTR13335-1:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.1.3风险的定义在信息安全领域，什么是风险？1.3风险的定义信息安全的定义（ISO17799）：Informationsecurityischaracterizedhereasthepreservationof:a)Confidentialityb)Integrityc)Availability信息安全的三个特征：保密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。1.3风险的定义信息安全风险信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。1.3风险的定义风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施1.4风险的要素资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值1.4风险的要素资产1.4风险的要素资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉威胁威胁是可能导致信息安全事故和组织信息资产损失的活动威胁是利用脆弱性来造成后果1.4风险的要素威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……1.4风险的要素脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。1.4风险的要素脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……1.4风险的要素风险要素之间的相互关系：1.4风险的要素威胁视图：1.4风险的要素脆弱性视图：1.4风险的要素影响视图：1.4风险的要素练习一识别风险1.请列举五个信息安全的风险的例子，并按下面的要求进行描述。2.要求：按照资产－资产所面临的威胁－可能被威胁利用的脆弱点的顺序来描述每一个风险。2风险管理体系2.1风险管理的概念2.2风险管理体系介绍2.2.1ISO177992.2.2AS/NZS43602.2.1GAO/AIMD98-68是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。风险管理：2.1风险管理的概念风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。风险管理的应用时机2.1风险管理的概念2.2风险管理体系介绍2.2.1ISO17799：信息安全管理体系2.2.2AS/NZS4360：风险管理标准2.2.1GAO/AIMD98-68：信息安全管理实施指南ISO17799信息安全管理体系2.2.1ISO17799–是协助组织以“风险管理”为基础建立“信息安全管理体系”的国际标准。信息安全管理体系建立步骤（BS7799-2）制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件2.2.1ISO177991、建立环境2、识别风险3、分析风险4、评估和评价风险5、处理风险AS/NZS4360:建立风险管理系统的步骤2.2.2AS/NZS4360监控和审查信息交流和咨询Australian/NewZealandStandardforRiskManagementAS/NZS4360：风险管理流程2.2.2AS/NZS43601、建立环境建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。2.2.2AS/NZS43602、鉴别风险鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。2.2.2AS/NZS43603、风险分析确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。2.2.2AS/NZS43604、评价风险将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。2.2.2AS/NZS43605、处理风险接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。2.2.2AS/NZS43606、监控和检查对于风险管理系统的运作情形以及可能影响其运行的那些变化进行监控和检查。2.2.2AS/NZS43607、信息交流和咨询在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者[Stakeholder]进行信息交流和咨询。2.2.2AS/NZS4360–LearningFromLeadingOrganizations–basedonthebestpracticesofoforganizationsnotedforsuperiorinformationsecurity.2.2.3GAO/AIMD98-68EXECUTIVEGUIDE:InformationSecurityManagementRiskManagementCycle风险管理循环建立核心管理焦点识别风险和确定安全需求安全意识和知识培训实施适合的安全策略和控制措施监督并审查安全策略和措施三的有效性2.2.3GAO/AIMD98-68GAO/AIMD98-68–识别风险和确定安全需求–建立核心管理焦点–实施适合的安全策略和控制措施–安全意识和知识培训–监督并审查安全策略和措施的有效性2.2.3GAO/AIMD98-681、评估风险和确定需求–识别信息资产–按业务需求制订评估流程–获得管理者和业务经理的支持–基于持续改进的方式进行风险管理2.2.3GAO/AIMD98-682、建立核心管理焦点–建立核心小组执行关键活动–建立核心小组和高级管理者直接联络的渠道–设立专项资金并配备相关人力资源–培养员工的职业素质和技术能力2.2.3GAO/AIMD98-683、实施适合的策略和相关措施–将策略与业务需求相对应–区分策略和指南–通过核心组支持策略的实现2.2.3GAO/AIMD98-684、增强安全意识–持续培训用户的安全意识和相关策略–采取集中培训和友好界面技术2.2.3GAO/AIMD98-685、监控和评估策略、措施的有效性–监控影响风险的因素和措施的有效性–运用实施结果来制订后续措施的制订及管理者的支持–关注新的监控工具和技术2.2.3GAO/AIMD98-683风险评估方法3.1风险评估方法概述3.2定量的风险评估3.3定性的风险评估3.4基于要素的风险评估3.5定性风险评估与定量评估的比较定义：组织确认自己所拥有的资产，分析资产所面对的威胁、所具有的脆弱性、损害发生的可能性、损害的程度等，并最终得出资产所面临的风险等级的过程。3.1风险评估方法概述–资产识别–确定威胁（Threat)–识别脆弱性（Vulnerability)–实施控制方法原则：不管使用哪一种风险评估的方法或工具，其内容都应包括以下四个要素：3.1风险评估方法概述–资产价值–可能胁迫资产的威胁和其发生的可能性–因脆弱点被威胁利用而造成冲击的容易度–目前或计划中可能降低脆弱点、威胁和冲击严重性的保护措施换句话说，风险是以下事项的作用：3.1风险评估方法概述要考虑影响和可能性在决定所需控制方法时，对既有控制方法的评估是必须的控制方法只能将风险降低到可接受的程度百分之百的安全，并不是安全管理的目的。3.1风险评估方法概述注意定量分析定性分析综合方法3.1风险评估方法概述风险评估的途径：定量分析：对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性。3.1风险评估方法概述定性分析适用于：初始的筛选活动，以鉴定出需要更仔细分析的风险风险程度和经济上的考虑数据不足以进行定量分析的情况定性分析：对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）分析的有效性