的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理八大产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于it流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及it基础设施等信息资产中,而且存在于业务流程及管理流程中。isms是通过实施一整套适当的控制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。is017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,iso/iec27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的plan-do-check-act(pdca)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定isms方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效isms的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别a:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别t:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别v:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级r。即r=f(a,v,t)=f[i
a,l(v
a,t)],其中i
a表示资产的重要程度;v
a表示某资产本身的脆弱性,l表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。iso27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时
上一页 [1] [2] [3] 下一页