风险评估的可行途径 风险评估分为哪几个步骤?
\u98ce\u9669\u8bc4\u4f30\u7684\u4e3b\u8981\u73af\u8282\u6709\u54ea\u4e9b\u98ce\u9669\u8bc4\u4f30\u7684\u6b65\u9aa4\u662f\uff1a1\u3001\u8d44\u4ea7\u8bc6\u522b\u4e0e\u8d4b\u503c\uff1b2\u3001\u5a01\u80c1\u8bc6\u522b\u4e0e\u8d4b\u503c\uff1b3\u3001\u8106\u5f31\u6027\u8bc6\u522b\u4e0e\u8d4b\u503c\uff1b4\u3001\u98ce\u9669\u503c\u8ba1\u7b97\uff1b5\u3001\u88ab\u8bc4\u4f30\u5355\u4f4d\u53ef\u6839\u636e\u98ce\u9669\u8bc4\u4f30\u7ed3\u679c\u9632\u8303\u548c\u5316\u89e3\u4fe1\u606f\u5b89\u5168\u98ce\u9669\u3002
在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。
风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线:
国际标准和国家标准,例如BS 7799-1、ISO 13335-4;
行业标准或推荐
来自其他有类似商务目标和规模的组织的惯例。
当然,如果环境和商务目标较为典型,组织也可以自行建立基线。
基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合,它可以在全组织范围内实行,如果有特殊需要,应该在此基础上,对特定系统进行更详细的评估。 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
风险识别
“风险识别”(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。
风险评价
“风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于组织对风险应对的决策。
详细评估的优点在于:
1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。
绛旓細鏈鍚庢槸椋庨櫓搴斿璁″垝闃舵銆傚湪杩欎釜闃舵锛屾垜浠渶瑕佷负姣忎釜宸茶瘑鍒殑椋庨櫓鍒跺畾閫傚綋鐨勫簲瀵硅鍒掋傝繖鍙互鍖呮嫭閲囧彇鎺柦鏉ラ伩鍏嶉闄┿佸噺灏戝叾鍙戠敓鐨勬鐜囨垨鍑忚交鍏跺奖鍝嶃傚簲瀵硅鍒掗渶瑕佹牴鎹粍缁囩殑璧勬簮鍜岃兘鍔涙潵杩涜锛屼互纭繚鍏鍙鎬у拰鏈夋晥鎬с傛讳箣锛椋庨櫓璇勪及鏄竴涓郴缁熸х殑杩囩▼锛岄渶瑕侀伒寰竴绯诲垪鏄庣‘鐨勬楠ゆ潵纭繚鍏跺噯纭у拰鏈夋晥鎬с
绛旓細1銆佺洰鏍囨帶鍒朵笌绋嬪簭鎺у埗鐩告帴鍚堛備紒涓氳储鍔椋庨櫓鐨鍙戠敓鍙楀埌澶氱鍥犵礌鐨勫奖鍝嶏紝鍏锋湁寰堝ぇ鐨勪笉纭畾鎬э紝鑰岃储鍔¢闄╃殑鎺у埗鐩爣鏄彲浠ョ‘瀹氱殑锛屽洜姝や紒涓氳储鍔¢闄╂帶鍒堕噰鍙栫洰鏍囨帶鍒跺簲鏄鍙鐨勩傜▼搴忔帶鍒跺己璋冧緷鎹畬鍠勭殑鎺у埗绋嬪簭锛岄氳繃涓ュ瘑鐨勮繃绋嬬鐞嗭紝浠ュ噺灏戞墽琛岀殑闅忔剰鎬с2銆佸疄琛岄绠楃害鏉燂紝缁嗗寲鐩爣钀藉疄璐d换銆傝储鍔¢绠楁槸浼佷笟璐㈠姟...
绛旓細甯歌椋庨櫓璇勪及鏂规硶鐨勮В閲婂拰绀轰緥涓銆侀闄╃煩闃靛垎鏋愰闄╃煩闃靛垎鏋愭硶(绠绉癓S),R=LS,鍏朵腑R涓洪闄╁,浜嬫晠鍙戠敓鐨勫彲鑳芥у拰浜嬩欢鍚庢灉鐨勭粍鍚,L涓轰簨鏁呭彂鐢熺殑鍙兘鎬;s鏄簨鏁呭悗鏋滅殑涓ラ噸绋嬪害;R鐨勫艰秺澶,绯荤粺鐨勯闄╄秺澶с備簩銆傛搷浣滄潯浠剁殑鍗遍櫓鍒嗘瀽(LEC)浣滀笟鏉′欢鍗卞鍒嗘瀽涓庤瘎浠锋柟娉(绠绉癓EC)銆俵(鍙兘鎬),E(鏆撮湶)鍜孋(鍚庢灉),浜嬫晠鍙...
绛旓細椋庨櫓璇勪及鍖呮嫭椋庨櫓杈ㄨ瘑銆侀闄╁垎鏋愩椋庨櫓璇勪环涓変釜姝ラ锛1銆侀闄╄鲸璇嗘槸鎸囨煡鎵句紒涓氬悇涓氬姟鍗曞厓銆佸悇椤归噸瑕佺粡钀ユ椿鍔ㄥ強鍏堕噸瑕佷笟鍔℃祦绋嬩腑鏈夋棤椋庨櫓锛屾湁鍝簺椋庨櫓锛2銆侀闄╁垎鏋愭槸瀵硅鲸璇嗗嚭鐨勯闄╁強鍏剁壒寰佽繘琛屾槑纭殑瀹氫箟鎻忚堪锛屽垎鏋愬拰鎻忚堪椋庨櫓鍙戠敓鍙兘鎬х殑楂樹綆銆侀闄╁彂鐢熺殑鏉′欢锛3銆侀闄╄瘎浠锋槸璇勪及椋庨櫓瀵逛紒涓氬疄鐜扮洰鏍囩殑褰卞搷绋嬪害...
绛旓細浠ュ悗鐨勮瘎浼颁笉涓瀹氬湪鏌滃彴鎿嶄綔锛屾姇璧勮呭彲浠ラ氳繃閾惰鎵嬫満閾惰杩涜璇勪及锛屼竴鑸湪鎵嬫満閾惰鐨勭偣鍑绘姇璧勭悊璐㈠鏋滄槸绗竴娆¤喘涔扮悊璐骇鍝佸垯浼氳姹傛牴鎹〉闈㈡彁绀洪棶鍗疯皟鏌ワ紝濡傚疄鍥炵瓟鐩稿叧鐨勯棶棰樺嵆鍙畬鎴愯瘎浼般椋庨櫓璇勪及鐨勫彲琛岄斿緞 鍦ㄩ闄╃鐞嗙殑鍓嶆湡鍑嗗闃舵锛岀粍缁囧凡缁忔牴鎹畨鍏ㄧ洰鏍囩‘瀹氫簡鑷繁鐨勫畨鍏ㄦ垬鐣ワ紝鍏朵腑灏卞寘鎷椋庨櫓璇勪及鎴樼暐鐨...
绛旓細浜斻佺ぞ浼氱ǔ瀹椋庨櫓璇勪及宸ヤ綔鐨勪富瑕佸唴瀹 瀵规墍娑変簨椤圭殑绀句細绋冲畾椋庨櫓璇勪及,涓昏搴斾粠瀹夊叏鎬с佸悎娉曟с佸悎鐞嗘с鍙鎬т互鍙婃槸鍚︿細鏈夊叾浠栬鍙戜笉绋冲畾浜嬩欢鐨勯闄╂х瓑鏂归潰杩涜璇勪及銆 (涓)璇勪及鍚堟硶鎬с備富瑕佽瘎浼版斂绛栨帾鏂界殑鍒跺畾鍜屽嚭鍙版槸鍚︾鍚堝浗瀹舵硶寰嬨佽鏀挎硶瑙勩佸湴鏂规ц瀹氬拰瑙勭珷,鏄惁绗﹀悎鍏氱殑璺嚎鏂归拡銆佹斂绛;閲嶅ぇ浜嬮」寮灞曟槸鍚︾鍚堟硶瀹...
绛旓細鍙鎬璇勪及鐨甯哥敤鏂规硶涓昏鍖呮嫭鎴愭湰鏁堢泭鍒嗘瀽銆椋庨櫓璇勪及銆佹妧鏈彲琛屾у垎鏋愬拰甯傚満璋冪爺銆傞鍏堬紝鎴愭湰鏁堢泭鍒嗘瀽鏄彲琛屾ц瘎浼扮殑鏍稿績鏂规硶涔嬩竴銆傝繖绉嶆柟娉曢氳繃瀵规瘮椤圭洰鐨勯鏈熸垚鏈拰棰勬湡鏁堢泭锛屾潵纭畾椤圭洰鐨勭粡娴庡彲琛屾с備緥濡傦紝鍦ㄨ瘎浼颁竴涓柊浜у搧寮鍙戦」鐩椂锛岄渶瑕佺患鍚堣冭檻鐮斿彂鎴愭湰銆佺敓浜ф垚鏈佸競鍦烘帹骞挎垚鏈瓑锛屽苟灏嗗叾涓庨鏈熺殑閿鍞...
绛旓細3銆佽剢寮辨ц瘑鍒笌璧嬪硷細浠庣鐞嗗拰鎶鏈袱涓柟闈㈠彂鐜板拰璇嗗埆鑴嗗急鎬э紝鏍规嵁琚▉鑳佸埄鐢ㄦ椂瀵硅祫浜ч犳垚鐨勬崯瀹宠繘琛岃祴鍊笺4銆侀闄╁艰绠楋細閫氳繃鍒嗘瀽涓婅堪娴嬭瘯鏁版嵁锛岃繘琛岄闄╁艰绠楋紝璇嗗埆鍜岀‘璁ら珮椋庨櫓锛屽苟閽堝瀛樺湪鐨勫畨鍏ㄩ闄╂彁鍑烘暣鏀瑰缓璁5銆佽璇勪及鍗曚綅鍙牴鎹椋庨櫓璇勪及缁撴灉闃茶寖鍜屽寲瑙d俊鎭畨鍏ㄩ闄╋紝鎴栬呭皢椋庨櫓鎺у埗鍦ㄥ彲鎺ュ彈鐨...
绛旓細3. 鍒跺畾椋庨櫓鎺у埗鎺柦鐜妭 鍦ㄨ瘑鍒苟璇勪及浜嗛闄╀箣鍚庯紝闇瑕佹牴鎹闄╃殑鎬ц川鍜岀壒鐐瑰埗瀹氱浉搴旂殑椋庨櫓鎺у埗鎺柦銆傝繖浜涙帾鏂藉寘鎷闃查闄╃殑绛栫暐銆佸簲瀵归闄╃殑搴旀ヨ鍒掍互鍙婇闄╁彂鐢熷悗鐨勬仮澶嶇瓥鐣ョ瓑銆傝繖涓鐜妭闇瑕佽冭檻璧勬簮銆佹椂闂淬佷汉鍛樼瓑鍥犵礌鐨勯檺鍒讹紝鍒跺畾鍒囧疄鍙鐨椋庨櫓鎺у埗璁″垝銆4. 鐩戞帶鍜屽瀹椋庨櫓璇勪及鐜妭 鏈鍚庯紝闇瑕佸宸茬粡...
