2�����、是否真正用于降低或者消除信息安全風(fēng)險,而不是引入了新的不可接受風(fēng)險;
3��、被關(guān)注的風(fēng)險是否具有較高的優(yōu)先等級(因為組織不可能完全避免安全風(fēng)險)����;
信息安全風(fēng)險評估恰恰很好的解決了以上的問題����,組織通過制定科學(xué)的風(fēng)險評估方法、程序�,對于那些為達成組織戰(zhàn)略目標(biāo)起到關(guān)鍵作用的信息和信息資產(chǎn)進行評估,最終得出這些關(guān)鍵信息及信息資產(chǎn)所面臨的風(fēng)險�,然后針對不同風(fēng)險制定相應(yīng)的處理計劃,提出所需要的資源���,從而使風(fēng)險評估輔助安全預(yù)算的制定����。
三����、 風(fēng)險評估過程
目前國際和國內(nèi)都有一些比較成熟的風(fēng)險評估標(biāo)準(zhǔn)及指南���,如BS 7799,ISO 13335,OCTAVE方法,NIST SP800-30等����。對于風(fēng)險評估過程的描述不盡相同,通常包括下述幾個過程:
1����、 確定評估的范圍、目的�、評估組、評估方法等��;
2�����、 識別評估范圍內(nèi)的信息資產(chǎn)�;
3�����、 識別對于這些資產(chǎn)的威脅�����;
4、 識別可能利用這些威脅的薄弱點����;
5、 識別信息資產(chǎn)的損失給組織帶來的影響��;
6�����、 識別威脅時間發(fā)生的可能性����;
7、 根據(jù)"影響"及"可能性"計算風(fēng)險�����;
8����、 確定風(fēng)險等級及可接受風(fēng)險的等級;
我們假設(shè)評估的目的之一是為了制定科學(xué)的安全預(yù)算,那么在整個風(fēng)險評估的過程中�,組織就應(yīng)該考慮風(fēng)險評估過程應(yīng)該輸出那些必要的信息,信息的表示方式如何等問題��。例如��,風(fēng)險評估的方法����,如果采用簡單的評估方法,其輸出的結(jié)果往往不夠細致����,進而不能很好的輔助制定預(yù)算的決策過程。從整個評估的過程看����,組織應(yīng)該考慮以下幾方面的問題:
1、風(fēng)險評估過程中的各類角色
風(fēng)險評估過程中��,通常需要來自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風(fēng)險評估小組����??紤]到風(fēng)險評估的結(jié)果需要為制定安全預(yù)算提供信息輸入,那么在整個風(fēng)險評估的過程中,都應(yīng)該考慮到組織內(nèi)部對制定預(yù)算起到關(guān)鍵作用的管理層人員的加入���。一方面能夠使其全面了解到評估過程���;一方面可以很好的將評估的結(jié)果及預(yù)算的結(jié)果與管理層進行溝通。
2����、風(fēng)險評估方法及所涉及的判定準(zhǔn)則
風(fēng)險評估通常采用定性和定量的分析方法。組織需要更多地考慮如何量化一些關(guān)鍵指標(biāo)�����,作為風(fēng)險評估過程中各個因素評價的判定準(zhǔn)則����。這樣的準(zhǔn)則更有利于關(guān)注風(fēng)險與控制成本之間的關(guān)系,也更利于各部門橫向溝通�,及與管理層的縱向溝通。
3���、系統(tǒng)的考慮導(dǎo)致風(fēng)險的威脅及薄弱點
組織在進行風(fēng)險評估時��,應(yīng)該系統(tǒng)的考慮來自各個方面的威脅�。目前,仍然有很多組織對于風(fēng)險評估的理解還停留在"技術(shù)關(guān)注"的層面���,這樣的風(fēng)險評估顯然是不夠的�����。國際標(biāo)準(zhǔn)ISO/IEC 17799《信息技術(shù)–信息安全管理實施細則》��,給出了信息安全的十大管控內(nèi)容�����,127項控制點���。組織可以參照此標(biāo)準(zhǔn)所提及的各類控制點,對比其信息及信息資產(chǎn)是否存在相應(yīng)的薄弱點��。這樣的評估結(jié)果才能全面反映組織所面臨的各類風(fēng)險���,使所選擇的控制更加系統(tǒng)全面���。
4�����、選擇適當(dāng)?shù)目刂拼胧?/p>
針對風(fēng)險評估所產(chǎn)生的不可接受風(fēng)險,組織應(yīng)該采取一定的控制措施����,對風(fēng)險進行處理。風(fēng)險的處理方式通常包括:降低風(fēng)險�、轉(zhuǎn)移風(fēng)險、避免風(fēng)險���、接受風(fēng)險�����。同一風(fēng)險的處理方式可能不同���,同樣的處理方式所采取的控制措施也可能不同。組織應(yīng)該考慮來自管理和技術(shù)兩方面的控制措施��。而這樣的控制措施并非一定要將風(fēng)險完全規(guī)避��,而是要降低到一個組織可以接受的水平��。另外控制措施的選擇也要考慮到成本的問題�。
四����、 風(fēng)險評估在系統(tǒng)生命周期不同階段的應(yīng)用
風(fēng)險評估不僅僅可以在每個財政年度為組織的安全預(yù)算提供輔助的支持�����,并且在信息化的過程中����,信息系統(tǒng)建設(shè)生命周期的不同階段都可以對項目的安全預(yù)算提供支持。在不同的階段�,風(fēng)險評估所表現(xiàn)出的價值是不同的,組織可以跟據(jù)不同階段的關(guān)注點(見表2)����,更多的考慮安全預(yù)算的投入方向,解決系統(tǒng)生命周期不同階段��,對于安全的不同要求���。
生命周期階段 階段特征 來自風(fēng)險評估活動的支持
階段1–規(guī)劃和啟動 提出信息系統(tǒng)的目的�����、需求��、規(guī)模和安全要求���。 風(fēng)險評估活動可用于確定信息系統(tǒng)安全需求。
階段2–設(shè)計開發(fā)或采購 信息系統(tǒng)設(shè)計�����、購買��、開發(fā)或建造���。 在本階段標(biāo)識的風(fēng)險可以用來為信息系統(tǒng)的安全分析提供支持���,這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計方案進行權(quán)衡。
階段3–集成實現(xiàn) 信息系統(tǒng)的安全特性應(yīng)該被配置���、激活���、測試并得到驗證。 風(fēng)險評估可支持對系統(tǒng)實現(xiàn)效果的評價�����,考察其是否能滿足要求,并考察系統(tǒng)所運行的環(huán)境是否是預(yù)期設(shè)計的��。有關(guān)風(fēng)險的一系列決策必須在系統(tǒng)運行之前做出��。
階段4–運行和維護 信息系統(tǒng)開始執(zhí)行其功能����,一般情況下系統(tǒng)要不斷修改,添加硬件和軟件����,或改變機構(gòu)的運行規(guī)則、策略或流程等�����。 當(dāng)定期對系統(tǒng)進行重新評估時�����,或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境(例如新的系統(tǒng)接口)中做出重大變更時�����,要對其進行風(fēng)險評估活動���,保證信息安全�����。
階段5–廢棄 本階段涉及到對信息����、硬件和軟件的廢棄����。這些活動可能包括信息的轉(zhuǎn)移、備份�����、丟棄�����、銷毀以及對軟硬件進行的密級處理�����。 當(dāng)要廢棄或替換系統(tǒng)組件時�,要對其進行風(fēng)險評估�����,以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置����,且殘留信息也恰當(dāng)?shù)剡M行了處理����。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。
組織不需要部署所有的安全產(chǎn)品�����,也沒有必要追求風(fēng)險最小化����。沒有任何一套安全方案可以完全保證信息的安全,通過風(fēng)險評估�����,了解安全要求���,認(rèn)知安全風(fēng)險�,采取安全控制,才能有效地保證安全預(yù)算與風(fēng)險的平衡�,系統(tǒng)地保證組織的信息安全,使信息化建設(shè)的投入為組織戰(zhàn)略目標(biāo)的達成做出貢獻����。
