一、风险评估的用途
识别危害——>风险评估——>控制风险
二、风险评估的定义
风险是某个事物可能会导致人们的生活、生命、财产等造成影响和损失的的威胁,而风险评估指的是这种威胁可能发生的一个程度,一个可以量化的评价。
三、风险评估的重要性
对于一个企业而言,威胁可能来自方方面面(如:机房环境、网络硬件设备资产、电脑终端资产、软件资产、数据资产、人员资产、无形资产等等),这种威胁是无处不在的,所以对这种威胁的识别,并且根据评估出来的结果进行针对性、突破性的管理和改善可以更加有效的降低安全事件发生的概率,对于企业而言是十分必要的。
四、风险评估的任务:
1、识别评估对象面临的各种风险
2、评估风险概率和可能带来的负面影响
3、确定组织承受风险的能力
4、确定风险消减和控制的优先等级
5、推荐风险消减对策
五、风险评估的全过程
1、确定要保护的对象及对象的价值?
2、该对象面临的威胁、原因、威胁发生的可能性大小?
3、该对象存在的弱点、弱点可能被威胁利用的容易程度?
4、一旦威胁事件发生,将面临的损失和影响?
5、为避免以上威胁事件发生,应采取什么措施降低风险?
解决以上问题的过程,就是风险评估的过程。
案例:
XXIT公司进行信息安全风险识别的全过程:
1、保护的对象:XX公司的所有和信息安全相关的资产,如:硬件资产(机房环境、网络设备、主机设备、电脑终端)、软件资产(信息系统)、数据资产(任何数据)、人员资产、无形资产(专利、著作权);
2、该对象面临的威胁:
(1)、硬件:自然灾害、自然损坏、人为破坏等;
(2)、软件:软件自身问题、网络攻击、社会工程学攻击等;
(3)、数据:网络攻击导致数据被盗取、利用、非法贩卖、泄露等;
(4)、人员:离职、跳槽泄露公司涉密资产、商机及公司战略等;
(5)、无形资产:专利、著作产品被他人非法使用;
3、该对象存在的弱点:
(1)、硬件:机房门禁无监控,电脑终端无防泄密策略;
(2)、软件:软件开发安全质量低,无安全开发意识和培训;
(3)、数据:数据库加密策略不完善、开发测试环境使用正式环境数据未脱敏;
(4)、人员:普通员工缺乏离职信息安全审计,中高层领导缺乏人才挽留策略,中高层人员离职率较高;
(5)、无形资产:暂无;
4、一旦危险发生,将会面临的影响:
(1)、硬件:系统瘫痪、网络崩溃、影响生产等
(2)、软件:系统瘫痪、数据被盗取、权限被盗取、非法操作等;
(3)、数据:网络攻击导致数据被盗取、利用、非法贩卖、泄露等;
(4)、人员:离职、跳槽泄露公司涉密资产、商机及公司战略等;
(5)、无形资产:专利、著作产品被他人非法使用;
5、为避免以上威胁事件发生,应采取什么措施:
(1)、硬件:加装机房门禁监控,电脑终端部署防泄密策略;
(2)、软件:进行安全开发培训,软件开发人员提升安全开发意识,需求阶段阶段具备安全设计、上线阶段具备安全检测等。
(3)、数据:完善数据库加密策略、开发测试环境使用正式环境数据需要脱敏;
(4)、人员:所有员工入职进行背景调查,离职进行信息安全审计,中高层领导制定人才挽留策略以及合同进行详细约束;
(5)、无形资产:暂无;
这个过程,就是风险评估的整个过程。
六、风险评估过程中注意事项
1、每项资产可能面临多种威胁;
2、威胁源(威胁代理)可能不止一个;
3、每种威胁可能利用一个或多个弱点;
所以,在风险评估的过程当中,应当做到全面、完善、整体进行分析和评估。
七、风险评估的战略
在风险评估的初期,组织就需要对安全目标制定一个符合自己实际情况的安全策略。其中就包括对风险评估战略的考虑(也就是风险评估的开展方式和过程)。
八、风险评估的范围
可以是企业、部门或者其他独立的、特定的组件和服务。
九、影响风险评估进展的部分因素
1、时间
2、开展深度
3、开展范围
十、风险评估的途径
1、基线评估:组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式;
2、详细评估:详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。;
3、组合评估:基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。。
十一、风险评估的方法
1、风险因素分析法
对可能导致风险发生的因素进行评价分析,确定风险发生概率。思路:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
2、模糊综合评价法
3、内部控制评价法
通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。
4、分析性复核法
5、定性风险评价法
6、风险率风险评价法
风险率风险评价法是定量风险评价法中的一种。思路:计算出风险率,然后把风险率与风险安全指标相比较,若风险率大于风险安全指标,则系统处于风险状态,两数据相差越大,风险越大。
网友评论