2�����、是否真正用于降低或者消除信息安全風險���,而不是引入了新的不可接受風險;
3����、被關注的風險是否具有較高的優(yōu)先等級(因為組織不可能完全避免安全風險);
信息安全風險評估恰恰很好的解決了以上的問題��,組織通過制定科學的風險評估方法��、程序����,對于那些為達成組織戰(zhàn)略目標起到關鍵作用的信息和信息資產(chǎn)進行評估,最終得出這些關鍵信息及信息資產(chǎn)所面臨的風險����,然后針對不同風險制定相應的處理計劃,提出所需要的資源����,從而使風險評估輔助安全預算的制定�����。
三��、 風險評估過程
目前國際和國內(nèi)都有一些比較成熟的風險評估標準及指南,如BS 7799,ISO 13335,OCTAVE方法���,NIST SP800-30等�����。對于風險評估過程的描述不盡相同���,通常包括下述幾個過程:
1、 確定評估的范圍�����、目的�����、評估組����、評估方法等����;
2��、 識別評估范圍內(nèi)的信息資產(chǎn)�����;
3���、 識別對于這些資產(chǎn)的威脅�;
4�、 識別可能利用這些威脅的薄弱點;
5�����、 識別信息資產(chǎn)的損失給組織帶來的影響����;
6、 識別威脅時間發(fā)生的可能性;
7����、 根據(jù)"影響"及"可能性"計算風險;
8����、 確定風險等級及可接受風險的等級;
我們假設評估的目的之一是為了制定科學的安全預算�,那么在整個風險評估的過程中,組織就應該考慮風險評估過程應該輸出那些必要的信息�,信息的表示方式如何等問題����。例如,風險評估的方法��,如果采用簡單的評估方法����,其輸出的結果往往不夠細致,進而不能很好的輔助制定預算的決策過程��。從整個評估的過程看�,組織應該考慮以下幾方面的問題:
1、風險評估過程中的各類角色
風險評估過程中,通常需要來自業(yè)務部門和技術部門及管理層的人員共同組成風險評估小組���?��?紤]到風險評估的結果需要為制定安全預算提供信息輸入,那么在整個風險評估的過程中����,都應該考慮到組織內(nèi)部對制定預算起到關鍵作用的管理層人員的加入。一方面能夠使其全面了解到評估過程�;一方面可以很好的將評估的結果及預算的結果與管理層進行溝通。
2����、風險評估方法及所涉及的判定準則
風險評估通常采用定性和定量的分析方法。組織需要更多地考慮如何量化一些關鍵指標�����,作為風險評估過程中各個因素評價的判定準則����。
這樣的準則更有利于關注風險與控制成本之間的關系,也更利于各部門橫向溝通��,及與管理層的縱向溝通。
3��、系統(tǒng)的考慮導致風險的威脅及薄弱點
組織在進行風險評估時����,應該系統(tǒng)的考慮來自各個方面的威脅。目前�����,仍然有很多組織對于風險評估的理解還停留在"技術關注"的層面��,這樣的風險評估顯然是不夠的���。國際標準ISO/IEC 17799《信息技術–信息安全管理實施細則》��,給出了信息安全的十大管控內(nèi)容,127項控制點�����。組織可以參照此標準所提及的各類控制點��,對比其信息及信息資產(chǎn)是否存在相應的薄弱點�。這樣的評估結果才能全面反映組織所面臨的各類風險,使所選擇的控制更加系統(tǒng)全面。
4�、選擇適當?shù)目刂拼胧?/p>
針對風險評估所產(chǎn)生的不可接受風險,組織應該采取一定的控制措施�,對風險進行處理。風險的處理方式通常包括:降低風險��、轉(zhuǎn)移風險����、避免風險、接受風險����。同一風險的處理方式可能不同,同樣的處理方式所采取的控制措施也可能不同���。組織應該考慮來自管理和技術兩方面的控制措施���。而這樣的控制措施并非一定要將風險完全規(guī)避,而是要降低到一個組織可以接受的水平�。另外控制措施的選擇也要考慮到成本的問題。
四�、 風險評估在系統(tǒng)生命周期不同階段的應用
風險評估不僅僅可以在每個財政年度為組織的安全預算提供輔助的支持,并且在信息化的過程中����,信息系統(tǒng)建設生命周期的不同階段都可以對項目的安全預算提供支持�����。在不同的階段�,風險評估所表現(xiàn)出的價值是不同的����,組織可以跟據(jù)不同階段的關注點(見表2),更多的考慮安全預算的投入方向�,解決系統(tǒng)生命周期不同階段,對于安全的不同要求�����。
生命周期階段 階段特征 來自風險評估活動的支持
階段1–規(guī)劃和啟動 提出信息系統(tǒng)的目的����、需求��、規(guī)模和安全要求���。 風險評估活動可用于確定信息系統(tǒng)安全需求��。
階段2–設計開發(fā)或采購 信息系統(tǒng)設計���、購買����、開發(fā)或建造��。 在本階段標識的風險可以用來為信息系統(tǒng)的安全分析提供支持�����,這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結構和設計方案進行權衡��。
階段3–集成實現(xiàn) 信息系統(tǒng)的安全特性應該被配置�、激活、測試并得到驗證���。 風險評估可支持對系統(tǒng)實現(xiàn)效果的評價�����,考察其是否能滿足要求��,并考察系統(tǒng)所運行的環(huán)境是否是預期設計的����。有關風險的一系列決策必須在系統(tǒng)運行之前做出。
階段4–運行和維護 信息系統(tǒng)開始執(zhí)行其功能���,一般情況下系統(tǒng)要不斷修改���,添加硬件和軟件,或改變機構的運行規(guī)則���、策略或流程等��。 當定期對系統(tǒng)進行重新評估時���,或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境(例如新的系統(tǒng)接口)中做出重大變更時,要對其進行風險評估活動�,保證信息安全。
階段5–廢棄 本階段涉及到對信息�、硬件和軟件的廢棄。這些活動可能包括信息的轉(zhuǎn)移��、備份��、丟棄���、銷毀以及對軟硬件進行的密級處理���。 當要廢棄或替換系統(tǒng)組件時,要對其進行風險評估����,以確保硬件和軟件得到了適當?shù)膹U棄處置,且殘留信息也恰當?shù)剡M行了處理����。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。
組織不需要部署所有的安全產(chǎn)品�����,也沒有必要追求風險最小化�����。沒有任何一套安全方案可以完全保證信息的安全�,通過風險評估,了解安全要求����,認知安全風險����,采取安全控制����,才能有效地保證安全預算與風險的平衡,系統(tǒng)地保證組織的信息安全�,使信息化建設的投入為組織戰(zhàn)略目標的達成做出貢獻。
