欢迎来到天天文库
浏览记录
ID:52006214
大小:1.13 MB
页数:79页
时间:2020-03-28
《风险评估与管理.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、风险评估与管理PKSEC北京知识安全工程中心中讯集团培训.2005年11月3日风险评估与管理与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程风险评估与风险管理的其它问题1概念解析1.1与过程相关的概念风险风险管理风险评估风险分析风险评价风险处理资产威胁脆弱性防护措施1.2与要素相关的概念概念解析1-风险风险(risk)风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言:两种因素造成对其使命的实际影响:(1)一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率;(2)上述事件
2、发生之后所带来的影响。概念解析1-风险(续)在ISO/IECGUIDE73将事件定义为:事件的概率及其结果的组合。注1通常,只有至少存在产生不利结果可能性的情况下才使用“风险”术语。注2在某些情况下,风险是由偏离期望的结果或事件的可能性引起的。概念解析2-风险管理风险管理(Riskmanagement)风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。概念解析2-风险管理对风险管理的过程而言,不同的方法或工具提供了不同的步骤,但是信息安全风险管理可操作的
3、相关过程和活动一般都要包括:确定评估范围识别评估控制措施识别评估资产识别评估威胁选择安全措施识别评估脆弱性确定风险处理策略风险评价制定安全计划实施安全计划风险分析风险处理概念解析3-风险评估风险评估(riskassessment)风险评估指风险分析和风险评价的整个过程。风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于组织信息安全管理体系策划的过程。通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在组织可以接受的范围之内。概念解析3-风险评估(续)区分风险评估和风险管理风险
4、管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期,通常以一定的间隔重新开始,来更新流程中各个阶段的数据。风险管理是一个持续循环,不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须,最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。概念解析4-风险分析风险分析(riskanalysis)风险分析是标识安全风险,确定其大小和标识需要保护措施的区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评
5、价和风险处理提供数据。概念解析4-风险分析(续)就风险分析的方法而言,目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手,可以信任,且能产生可比较、可再现性的结果才是最重要的。尽管评估风险的方法有很多,但是大多数方法都是基于两种方法或两种方法的组合:定性的分析方法和定量的分析方法。概念解析4-风险分析(续)定性分析方法定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。该方法通常只关注威胁事件所带来的损失,而忽略事件发生的概率。概念解析4-风险分析
6、(续)定量分析方法定量分析方法在后果和可能性分析中采用数值(不是定性分行中所使用的叙述性数值范围),并采用从各种各样的来源中得到的数据。定量分析步骤主要集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考依据。概念解析4-风险分析(续)定性风险分析示例(此示例来源于ISO/IEC13335-3)概念解析4-风险分析(续)步骤1:结果或影响的定性量度等级描述详详细描述1可以忽略无伤害,低财物损失2较小立即受控制,中等财物损失3中等受控,高财物损失4较大大伤害,失去生产能力,较大财物损失5灾难性持续能力中断,
7、巨大财物损失概念解析4-风险分析(续)步骤2:可能性的定性量度等级描述详细描述A几乎肯定预期在大多数情况下发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生概念解析4-风险分析(续)步骤3:从而得出风险分析矩阵其中:E:要求立即采取措施H:需要高级管理部门的注意M:必须规定管理责任L:用日常程序处理概念解析4-风险分析(续)定量风险分析的示例:概念解析4-风险分析(续)计算风险的年预期损失ALE:AnnualRiskExpectancy年预期损失ARO:Annu
8、alRateofOccurrence年发生率SLE:SingleLossExpectancy单一风险预期损失ALE=ARO*SLE概念解析4-风险分析(续)两种方法的比较:目前风险分析方法以定性分析为主。由于定性的分析方法不是用数学或
此文档下载收益归作者所有