作為信息安全風(fēng)險(xiǎn)管理來說���,其主要可以分為以下四個(gè)環(huán)節(jié)來實(shí)施:信息資產(chǎn)分析-->風(fēng)險(xiǎn)分析-->風(fēng)險(xiǎn)評價(jià)-->風(fēng)險(xiǎn)處理����,這里就這四個(gè)環(huán)節(jié)的核心目標(biāo)和包括的子任務(wù)介紹一下�����。
一���、信息資產(chǎn)分析��,解決組織信息安全管理的對象問題���,即對哪些東西實(shí)施安全風(fēng)險(xiǎn)管理���? 先確定什么是信息資產(chǎn)?包括:硬件���、軟件���、信息、數(shù)據(jù)���、源碼����、規(guī)則/計(jì)劃�、環(huán)境設(shè)施(如:機(jī)房、動力設(shè)備����、外設(shè)等)��、服務(wù)����、人員和無形資產(chǎn)等��。我們不能脫離實(shí)際環(huán)境談風(fēng)險(xiǎn)管理�����,“是不是風(fēng)險(xiǎn)���,風(fēng)險(xiǎn)的影響度,對風(fēng)險(xiǎn)的承受度”都和實(shí)際環(huán)境密不可分���。因此����,首先信息資產(chǎn)分析要從組織的核心業(yè)務(wù)識別做起��,處在組織核心業(yè)務(wù)鏈上的信息資產(chǎn)應(yīng)該投入更高的優(yōu)先關(guān)注����。其次,把核心業(yè)務(wù)映射到具體的業(yè)務(wù)流程和部門中�,因?yàn)樾畔①Y產(chǎn)是各個(gè)部門通過流程的運(yùn)行來支持業(yè)務(wù)作用的。第三�,以部門為梳理執(zhí)行單元,整理各自部門下的信息資產(chǎn)�,形成資產(chǎn)清單�����, 并把支持相同或者相近業(yè)務(wù)功能的資產(chǎn)組成資產(chǎn)組合����。
二���、風(fēng)險(xiǎn)分析�����,通過一些屬性��,針對信息資產(chǎn)所做的風(fēng)險(xiǎn)調(diào)查和確認(rèn)�����,并制定有針對性的解決措施�����。風(fēng)險(xiǎn)來源于外部的威脅,因此首先要根據(jù)信息資產(chǎn)來識別分析各自的威脅屬性����,包括:威脅的主體��、能力�、資源和動機(jī)等����。風(fēng)險(xiǎn)根源是內(nèi)部系統(tǒng)的脆弱性(漏洞),包括:信息資產(chǎn)本身的脆弱性和引文安全措施不足導(dǎo)致的脆弱性�。經(jīng)驗(yàn)而談,大多數(shù)的脆弱性是由于不良的流程和人員意識薄弱導(dǎo)致的���。對每個(gè)信息資產(chǎn)�����,我們需要通過定性/定量的方式進(jìn)行深度分析��,其目的就是客觀準(zhǔn)確的制定控制措施(從行政����、技術(shù)���、管理等方面出發(fā)降低風(fēng)險(xiǎn)發(fā)生的概率或者減少影響程度)�,對關(guān)鍵資產(chǎn)投入更多的資源。
三����、風(fēng)險(xiǎn)評價(jià),通過定性定量的評估��,確定組織風(fēng)險(xiǎn)的嚴(yán)重性和緊急程度�����,排列風(fēng)險(xiǎn)解決的優(yōu)先級順序����。通過我們掌握了組織每個(gè)信息資產(chǎn)的風(fēng)險(xiǎn)情況和控制措施,接下來就是綜合評價(jià)這些信息資產(chǎn)���,確定解決風(fēng)險(xiǎn)的優(yōu)先級����。這里需要強(qiáng)調(diào)一下����,確定風(fēng)險(xiǎn)的優(yōu)先級一定是結(jié)合業(yè)務(wù)特點(diǎn),不能只從信息資產(chǎn)本身來評估。在上面介紹過“每個(gè)信息資產(chǎn)在信息資產(chǎn)本身��、所在的信息資產(chǎn)組和所在的業(yè)務(wù)領(lǐng)域三個(gè)層次上具有風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)”而確定風(fēng)險(xiǎn)優(yōu)先級也是在這三個(gè)層次中尋找最高標(biāo)準(zhǔn)的來做規(guī)劃���,既是“就高不就低”原則,同時(shí)需要考慮的是技術(shù)���,人員��,能力和資源等因素�����。最后要形成風(fēng)險(xiǎn)級別矩陣和風(fēng)險(xiǎn)級別描述�����。
四����、風(fēng)險(xiǎn)處理��,通過一系列的規(guī)劃設(shè)計(jì)��,確立信息安全風(fēng)險(xiǎn)實(shí)施項(xiàng)目,并制定落實(shí)項(xiàng)目的實(shí)施���。這個(gè)環(huán)節(jié)包括了以下幾個(gè)具體細(xì)節(jié)工作:第一����、根據(jù)成本����、目標(biāo)和范圍等確定處理的策略。第二���、根據(jù)管理和技術(shù)約束來選擇安全措施����。第三��、以項(xiàng)目的形式��,按優(yōu)先級別組織制定安全計(jì)劃����。第四、依據(jù)項(xiàng)目管理落實(shí)實(shí)施計(jì)劃���。最后強(qiáng)調(diào)一點(diǎn)�,“信息安全風(fēng)險(xiǎn)管理”是一個(gè)持續(xù)性的管理工作,應(yīng)該作為企業(yè)組織一種常態(tài)的管理內(nèi)容定期的或者當(dāng)與安全相關(guān)的事件在組織內(nèi)發(fā)生時(shí)啟動實(shí)施��。每個(gè)企業(yè)��、組織都應(yīng)該具備自己完成這個(gè)管理的能力��。
..
|
