文档介绍：风险评估与管理
PKSEC
北京知识安全工程中心
中讯集团培训
.
2005年11月3日
风险评估与管理
与风险评估和风险管理相关的概念解析
信息安全风险管理的一般过程
风险评估与风险管理的其它问题
1 概念解析
与过程相关的概念
风险
风险管理
风险评估
风险分析
风险评价
风险处理
资产
威胁
脆弱性
防护措施
与要素相关的概念
概念解析1 - 风险
风险(risk)
风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结果的潜在因素。
对信息系统而言:两种因素造成对其使命的实际影响:(1)一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率;(2)上述事件发生之后所带来的影响。
概念解析1 - 风险(续)
在ISO/IEC GUIDE73将事件定义为:
事件的概率及其结果的组合。
注1 通常,只有至少存在产生不利结果可能性的情况下才使用“风险”术语。
注2 在某些情况下,风险是由偏离期望的结果或事件的可能性引起的。
概念解析2 - 风险管理
风险管理(Risk management)
风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。
风险管理被认为是良好管理的一个组成部分。
概念解析2 - 风险管理
对风险管理的过程而言,不同的方法或工具提供了不同的步骤,但是信息安全风险管理可操作的相关过程和活动一般都要包括:
确定评估范围
识别评估控制措施
识别评估资产
识别评估威胁
选择安全措施
识别评估脆弱性
确定风险处理策略
风险评价
制定安全计划
实施安全计划
风险分析
风险处理
概念解析3 - 风险评估
风险评估(risk assessment)
风险评估指风险分析和风险评价的整个过程。
风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于组织信息安全管理体系策划的过程。
通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在组织可以接受的范围之内。
概念解析3 - 风险评估(续)
区分风险评估和风险管理
风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期,通常以一定的间隔重新开始,来更新流程中各个阶段的数据。风险管理是一个持续循环,不断上升的过程。
风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须,最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。
概念解析4 - 风险分析
风险分析(risk analysis)
风险分析是标识安全风险,确定其大小和标识需要保护措施的区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处理提供数据。