资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,按一下以編輯母片標題樣式,*,按一下以編輯母片,第二層,第三層,第四層,第五層,第十一章 資訊安全風險評估與管理,11-1,風險評估與管理基本概念,11-2,風險評估過程,11-3,風險控制過程,11-4,風險評估與管理方法,11-1,風險,評,評估,與,與管,理,理基,本,本概,念,念,什麼,時,時候,才,才能,阻,阻止,網,網路,駭,駭客,入,入侵,?,?人,類,類文,明,明已,有,有四,千,千年,歷,歷史,,,,何,時,時才,能,能讓,犯,犯罪,成,成為,絕,絕響,?,?答,案,案是,:,:永,遠,遠不,會,會。,網,網路,世,世界,也,也是,一,一樣,的,的道,理,理,,我,我們,最,最多,能,能做,的,的就,是,是儘,可,可能,管,管理,風,風險,,,,將,風,風險,降,降到,最,最低,,,,一,如,如在,實,實體,世,世界,的,的做,法,法。,11-1-1,與風險評,估,估有關的,概,概念,1.,威脅(,Threat,),是指,可,可能對資,產,產或組織,造,造成損害,事,事故的潛,在,在原因。,2.,薄弱點(,Vulnerability,),是指,資,資產或資,產,產組中能,被,被威脅利,用,用的弱點,。,。,3.,風險(,Risk,)是特定,威,威脅事件,發,發生的可,能,能性與後,果,果的結合,。,。,4.,風險評估,(,(,RiskAssessment,),對資,訊,訊和資訊,處,處理設施,的,的威脅、,影,影響和薄,弱,弱點及三,者,者發生可,能,能性的評,估,估。,11-1-2,與風險管,理,理有關的,概,概念,1.,風險管理,(,(,RiskManagement,),以可,接,接受的費,用,用識別、,控,控制、降,低,低或消除,可,可能影響,資,資訊系統,的,的安全風,險,險的過程,。,。,2.,安全控制,(,(,SecurityControl,),降低,安,安全風險,的,的慣例、,程,程序或機,制,制。,3.,剩餘風險,(,(,ResidualRisk,),實施,安,安全控制,後,後,剩下,的,的安全風,險,險。,4.,適用性聲,明,明(,Applicability Statement,),適用,於,於組織需,要,要的目標,和,和控制的,評,評述。,11-1-3,術語概念,之,之間的關,係,係,資產具有,價,價值,並,會,會受到威,脅,脅的潛在,影,影響。,薄弱點將,資,資產暴露,給,給威脅,,威,威脅利用,薄,薄弱點對,資,資產造成,影,影響。,威脅與薄,弱,弱點的增,加,加導致安,全,全風險的,增,增加。,安全風險,的,的存在對,組,組織的資,訊,訊安全提,出,出要求。,安全控制,應,應滿足安,全,全要求。,組織通過,實,實施安全,控,控制防範,威,威脅,以,降,降低安全,風,風險。,11-2,風險評估,過,過程,風險評估,(,(也稱風,險,險分析),是,是風險管,理,理的基礎,,,,是組織,確,確認資訊,安,安全要求,的,的途徑之,一,一,屬於,組,組織資訊,安,安全管理,體,體系策劃,的,的過程。,透過風險,評,評估識別,組,組織所面,臨,臨的安全,風,風險並確,認,認風險控,制,制的優先,等,等級,進,而,而對其實,施,施有效控,制,制,將風,險,險控制在,組,組織可以,接,接受的範,圍,圍之內。,11-2-1,風險評估,的,的基本步,驟,驟,1,風險評,估,估應考慮,的,的因素,2,風險評,估,估的基本,步,步驟,3,進行風,險,險評估時,,,,應考慮,的,的對應關,係,係,風險評估,過,過程圖,11-2-2,資產識別,與,與估價,為了明確,被,被保護的,資,資訊資產,,,,組織應,列,列出與資,訊,訊安全有,關,關的資產,清,清單,對,每,每一項資,產,產進行確,認,認和適當,的,的評估。,為了防止,資,資產被忽,視,視或遺忘,,,,在識別,資,資產之前,應,應確定風,險,險評估範,圍,圍。,列出對組,織,織或組織,的,的特定部,門,門的業務,過,過程有價,值,值的任何,事,事物,以,便,便根據組,織,織的商務,流,流程來識,別,別資訊資,產,產。,11-2-3,威脅識別,與,與評價,對組織需,要,要保護的,每,每一項關,鍵,鍵資訊資,產,產進行威,脅,脅識別。,在威脅識,別,別過程中,,,,應根據,資,資產所處,的,的環境條,件,件和資產,以,以前遭受,威,威脅損害,的,的情況來,判,判斷,一,項,項資產可,能,能面臨著,多,多個威脅,,,,同樣一,個,個威脅可,能,能對不同,的,的資產造,成,成影響。,威脅識別,應,應確認威,脅,脅由誰或,什,什麼事物,引,引發以及,威,威脅影響,的,的資產。,環境威脅,發,發生的可,能,能性,P,TV,=P,T,P,V,P,TV,考慮資產,薄,薄弱點因,素,素的威脅,發,發生的可,能,能性,P,T,未考慮資,產,產薄弱點,因,因素的威,脅,脅發生可,能,能性,P,v,資產的薄,弱,弱點被威,脅,脅利用的,可,可能性,11-2-4,薄弱點評,價,價與已有,控,控制措施,的,的確認,1,薄弱點,的,的識別與,評,評價,組織應針,對,對每一項,需,需要保護,的,的資訊資,產,產,找出,每,每一種威,脅,脅所能利,用,用的薄弱,點,點,並對,薄,薄弱點的,嚴,嚴重性進,行,行評價。,2,對己有,的,的安全控,制,制進行確,認,認,組織應將,已,已採取的,控,控制措施,進,進行識別,並,並對控制,措,措施的有,效,效性進行,確,確認。,11-2-5,風險評估,組織在經,過,過資產識,別,別與估價,、,、威脅與,薄,薄弱點的,識,識別與評,價,價、已有,控,控制措施,的,的確認後,,,,應利用,適,適當的風,險,險測量方,法,法或工具,確,確定風險,的,的大小與,風,風險等級,,,,即對組,織,織資訊安,全,全管理範,圍,圍內的每,一,一資訊資,產,產因遭受,洩,洩露、修,改,改、不可,用,用和破壞,所,所帶來的,任,任何影響,做,做出一個,風,風險測量,的,的列表,,以,以便識別,與,與選擇適,當,當和正確,的,的安全控,制,制方式。,風險測量,方,方法,風險是資,產,產所受到,的,的威脅、,存,存在的薄,弱,弱點及威,脅,脅利用薄,弱,弱點所造,成,成的潛在,影,影響三方,面,面共同作,用,用的結果,。,。風險是,威,威脅發生,的,的可能性,、,、薄弱點,被,被威脅利,用,用的可能,性,性和威脅,的,的潛在影,響,響的函數,,,,記為:,R=R,(,PT,,,PV,,,I,),風險區域,示,示意圖,風險優先,順,順序別確,定,定,確定風險,數,數值的大,小,小不是我,們,們評估的,最,最終目的,,,,重要的,是,是明確不,同,同威脅對,資,資產所產,生,生的風險,的,的相對值,,,,即要確,定,定不同風,險,險的優先,次,次序或等,級,級,對於,風,風險等級,高,高的資產,應,應被優先,分,分配資源,進,進行保護,。,。,風險評估,一,一風險管,理,理工具的,選,選擇,一旦風險,評,評估被完,成,成,評估,的,的結果(,資,資產和它,們,們的價值,,,,威脅,薄弱點和,風,風險等級,,,,以及被,確,確認的控,制,制)應該,被,被保存和,檔,檔案化,,例,例如,儲,存,存在資料,庫,庫裡。,企業組織,或,或政府單,位,位可以利,用,用軟體支,援,援工具進,行,行風險評,估,估活動,,這,這可以使,再,再評估活,動,動更容易,。,。,11-3,風險控制,過,過程,11-3-1,安全控制,的,的識別和,選,選擇,為了降低,或,或消除資,訊,訊安全管,理,理體系範,圍,圍所涉及,到,到的被評,估,估的風險,,,,組織應,識,識別和選,擇,擇適宜且,合,合理的安,全,全控制。,透過實施,安,安全控制,使,使風險降,低,低到組織,可,可接受的,程,程度。,安全控制,的,的選擇應,以,以風險評,估,估的結果,作,作為依據,,,,判斷與,威,威脅相關,聯,聯的薄弱,點,點,決定,什,什麼地方,需,需要保護,,,,以及應,該,該採取何,種,種形式的,控,控制。,11-3-2,風險控制,根據控制,費,費用與風,險,險平衡的,原,原則,組,織,織對所選,擇,擇的安全,控,控制應嚴,格,格實施並,保,保持,即,透,透過以下,途,途徑達到,風,風險降低,的,的目的:,(,1,)避免風,險,險,(,(,2,)轉移風,險,險,(,3,)減少威,脅,脅,(,(,4,)減少薄,弱,弱點,(,5,)減少威,脅,脅可能的,影,影響程度,(,6,)探測有害事故,11-3-3,風險接受,組織在實施選擇,的,的控制後,總是,有,有殘留的風險,,稱,稱之為殘留風險,或,或殘餘風險。殘,餘,餘風險也可能是,某,某些資產未被有,意,意保護所致,例,如,如,假設的低風,險,險或者被提及的,控,控制需要高費用,而,而未採取應有的,控,控制。,為確保組織的資,訊,訊安全,殘餘風,險,險應在可接受的,範,範圍內。,動態風險評估的,時,時機,(,1,)當組織新增資,訊,訊資產時,(,2,)當系統發生重,大,大變更時,(,3,)發生嚴重資訊,安,安全事故時,(,4,)組織認為有必,要,要時,11-4,風險評估與管理,方,方法,為了達到自我安,全,全的要求,定期,的,的反省檢討安全,措,措施是必要的步,驟,驟。,為了確認定期檢,討,討的內容,也因,此,此需要一套系統,的,的分析方法,才,能,能發現問題的所,在,在。這樣一套有,系,系統的方法即為,風,風險評估方法。,在風險評估和風,險,險管理方法被應,用,用的過程中,評,估,估時間、強度,,以,以及具體開展的,深,深度應與組織的,環,環境和安全要求,相,相稱。,11-4-1,基本的風險評估,基本的風險評估,是,是一種直接和簡,單,單的方法,包括,對,對組織所考慮的,資,資訊和財產安全,要,要求的一個系統,的,的評估,識別那,些,些令人滿意的控,制,制目標和對滿足,這,這些目標的一系,列,列控制進行選擇,。,。,這種方法適用於,商,商業運作不是非,常,常複雜,並且組,織,織對資訊處理和,網,網路的依賴程度,不,不高的組織。,11-4-2,詳細的風險評估,這個方法包括對,資,資產的詳細識別,和,和估價,以及那,些,些對資產形成威,脅,脅和相關薄弱點,水,水平的評估,上,述,述結果被用於評,估,估風險並隨後被,用,用於安全控制的,識,識別和選擇。,詳細的風險評估,可,可能是非常耗費,財,財力的過程,因,此,此需要非常仔細,制,制定被評估的資,訊,訊系統範圍內的,商,商務環境、運作,、,、資訊和資產的,界,界限。,11-4-3,聯合評估方法,這種方法首先使,用,用基本的風險評,估,估方法,識別資,訊,訊安全管理範圍,內,內具有潛在的高,風,風險或對商業運,作,作來說極為關鍵,的,的資產,然後根,據,據基本的風險評,估,估的結果,將資,訊,訊安全管理範圍,內,內的資產分成兩,類,類,一類需要應,用,用一個詳細的風,險,險評估方法以達,到,到適當保護,另,一,一類透過基本評,估,估方法選擇的控,制,制。,11-4-4,風險評估和管理,方,方法的選擇應考,慮,慮的因素,組織可採取不同,的,的風險評估和風,險,險管理方法,一,個,個方法是否適合,於,於特定組織有很,多,多影響因素,包,括,括:,(,1,)商務環境,(,2,)商務性質和重,要,要性,(,3,)對支援組織商,務,務的資訊系統的,技,技 術性和非,技,技術性依賴,(,4,)商務及其支援,系,系統、應用軟體,和,和 服務的複,雜,雜性,(,5,)商業夥伴和外,部,部業務以及合約,關,關係的數
展开阅读全文