作為信息安全風險管理來說�����,其主要可以分為以下四個環(huán)節(jié)來實施:信息資產(chǎn)分析-->風險分析-->風險評價-->風險處理�,這里就這四個環(huán)節(jié)的核心目標和包括的子任務介紹一下。
一�����、信息資產(chǎn)分析,解決組織信息安全管理的對象問題����,即對哪些東西實施安全風險管理? 先確定什么是信息資產(chǎn)�����?包括:硬件�����、軟件���、信息�����、數(shù)據(jù)��、源碼��、規(guī)則/計劃����、環(huán)境設施(如:機房、動力設備���、外設等)��、服務�����、人員和無形資產(chǎn)等����。我們不能脫離實際環(huán)境談風險管理����,“是不是風險�,風險的影響度,對風險的承受度”都和實際環(huán)境密不可分���。因此�,首先信息資產(chǎn)分析要從組織的核心業(yè)務識別做起���,處在組織核心業(yè)務鏈上的信息資產(chǎn)應該投入更高的優(yōu)先關注���。其次���,把核心業(yè)務映射到具體的業(yè)務流程和部門中,因為信息資產(chǎn)是各個部門通過流程的運行來支持業(yè)務作用的��。第三�,以部門為梳理執(zhí)行單元,整理各自部門下的信息資產(chǎn)����,形成資產(chǎn)清單, 并把支持相同或者相近業(yè)務功能的資產(chǎn)組成資產(chǎn)組合����。
二、風險分析����,通過一些屬性,針對信息資產(chǎn)所做的風險調查和確認��,并制定有針對性的解決措施�。風險來源于外部的威脅���,因此首先要根據(jù)信息資產(chǎn)來識別分析各自的威脅屬性,包括:威脅的主體�、能力、資源和動機等��。風險根源是內部系統(tǒng)的脆弱性(漏洞)�����,包括:信息資產(chǎn)本身的脆弱性和引文安全措施不足導致的脆弱性�。經(jīng)驗而談,大多數(shù)的脆弱性是由于不良的流程和人員意識薄弱導致的��。對每個信息資產(chǎn)���,我們需要通過定性/定量的方式進行深度分析��,其目的就是客觀準確的制定控制措施(從行政、技術���、管理等方面出發(fā)降低風險發(fā)生的概率或者減少影響程度)����,對關鍵資產(chǎn)投入更多的資源。
三����、風險評價,通過定性定量的評估�����,確定組織風險的嚴重性和緊急程度��,排列風險解決的優(yōu)先級順序��。通過我們掌握了組織每個信息資產(chǎn)的風險情況和控制措施�,接下來就是綜合評價這些信息資產(chǎn),確定解決風險的優(yōu)先級����。這里需要強調一下,確定風險的優(yōu)先級一定是結合業(yè)務特點���,不能只從信息資產(chǎn)本身來評估�����。在上面介紹過“每個信息資產(chǎn)在信息資產(chǎn)本身�����、所在的信息資產(chǎn)組和所在的業(yè)務領域三個層次上具有風險接受標準”而確定風險優(yōu)先級也是在這三個層次中尋找最高標準的來做規(guī)劃��,既是“就高不就低”原則�����,同時需要考慮的是技術���,人員�,能力和資源等因素���。最后要形成風險級別矩陣和風險級別描述����。
四�����、風險處理�,通過一系列的規(guī)劃設計,確立信息安全風險實施項目�,并制定落實項目的實施。這個環(huán)節(jié)包括了以下幾個具體細節(jié)工作:第一�、根據(jù)成本、目標和范圍等確定處理的策略���。第二����、根據(jù)管理和技術約束來選擇安全措施���。第三�、以項目的形式���,按優(yōu)先級別組織制定安全計劃�。第四�、依據(jù)項目管理落實實施計劃。最后強調一點���,“信息安全風險管理”是一個持續(xù)性的管理工作���,應該作為企業(yè)組織一種常態(tài)的管理內容定期的或者當與安全相關的事件在組織內發(fā)生時啟動實施��。每個企業(yè)����、組織都應該具備自己完成這個管理的能力���。
..
|
