作為信息安全風(fēng)險(xiǎn)管理來說���,其主要可以分為以下四個(gè)環(huán)節(jié)來實(shí)施:信息資產(chǎn)分析-->風(fēng)險(xiǎn)分析-->風(fēng)險(xiǎn)評(píng)價(jià)-->風(fēng)險(xiǎn)處理�,這里就這四個(gè)環(huán)節(jié)的核心目標(biāo)和包括的子任務(wù)介紹一下。
一�、信息資產(chǎn)分析,解決組織信息安全管理的對(duì)象問題����,即對(duì)哪些東西實(shí)施安全風(fēng)險(xiǎn)管理? 先確定什么是信息資產(chǎn)�����?包括:硬件����、軟件、信息����、數(shù)據(jù)、源碼�����、規(guī)則/計(jì)劃��、環(huán)境設(shè)施(如:機(jī)房��、動(dòng)力設(shè)備、外設(shè)等)�����、服務(wù)��、人員和無形資產(chǎn)等�。我們不能脫離實(shí)際環(huán)境談風(fēng)險(xiǎn)管理,“是不是風(fēng)險(xiǎn)�����,風(fēng)險(xiǎn)的影響度�����,對(duì)風(fēng)險(xiǎn)的承受度”都和實(shí)際環(huán)境密不可分�。因此���,首先信息資產(chǎn)分析要從組織的核心業(yè)務(wù)識(shí)別做起����,處在組織核心業(yè)務(wù)鏈上的信息資產(chǎn)應(yīng)該投入更高的優(yōu)先關(guān)注��。其次,把核心業(yè)務(wù)映射到具體的業(yè)務(wù)流程和部門中�����,因?yàn)樾畔①Y產(chǎn)是各個(gè)部門通過流程的運(yùn)行來支持業(yè)務(wù)作用的��。第三�,以部門為梳理執(zhí)行單元,整理各自部門下的信息資產(chǎn)���,形成資產(chǎn)清單�����, 并把支持相同或者相近業(yè)務(wù)功能的資產(chǎn)組成資產(chǎn)組合��。
二��、風(fēng)險(xiǎn)分析�����,通過一些屬性���,針對(duì)信息資產(chǎn)所做的風(fēng)險(xiǎn)調(diào)查和確認(rèn)�����,并制定有針對(duì)性的解決措施�����。風(fēng)險(xiǎn)來源于外部的威脅���,因此首先要根據(jù)信息資產(chǎn)來識(shí)別分析各自的威脅屬性,包括:威脅的主體���、能力�、資源和動(dòng)機(jī)等�。風(fēng)險(xiǎn)根源是內(nèi)部系統(tǒng)的脆弱性(漏洞)����,包括:信息資產(chǎn)本身的脆弱性和引文安全措施不足導(dǎo)致的脆弱性。經(jīng)驗(yàn)而談����,大多數(shù)的脆弱性是由于不良的流程和人員意識(shí)薄弱導(dǎo)致的。對(duì)每個(gè)信息資產(chǎn)�,我們需要通過定性/定量的方式進(jìn)行深度分析��,其目的就是客觀準(zhǔn)確的制定控制措施(從行政��、技術(shù)�、管理等方面出發(fā)降低風(fēng)險(xiǎn)發(fā)生的概率或者減少影響程度)���,對(duì)關(guān)鍵資產(chǎn)投入更多的資源����。
三�����、風(fēng)險(xiǎn)評(píng)價(jià)����,通過定性定量的評(píng)估,確定組織風(fēng)險(xiǎn)的嚴(yán)重性和緊急程度���,排列風(fēng)險(xiǎn)解決的優(yōu)先級(jí)順序�����。通過我們掌握了組織每個(gè)信息資產(chǎn)的風(fēng)險(xiǎn)情況和控制措施���,接下來就是綜合評(píng)價(jià)這些信息資產(chǎn)����,確定解決風(fēng)險(xiǎn)的優(yōu)先級(jí)����。這里需要強(qiáng)調(diào)一下,確定風(fēng)險(xiǎn)的優(yōu)先級(jí)一定是結(jié)合業(yè)務(wù)特點(diǎn)�����,不能只從信息資產(chǎn)本身來評(píng)估�。在上面介紹過“每個(gè)信息資產(chǎn)在信息資產(chǎn)本身、所在的信息資產(chǎn)組和所在的業(yè)務(wù)領(lǐng)域三個(gè)層次上具有風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)”而確定風(fēng)險(xiǎn)優(yōu)先級(jí)也是在這三個(gè)層次中尋找最高標(biāo)準(zhǔn)的來做規(guī)劃���,既是“就高不就低”原則�,同時(shí)需要考慮的是技術(shù)���,人員,能力和資源等因素��。最后要形成風(fēng)險(xiǎn)級(jí)別矩陣和風(fēng)險(xiǎn)級(jí)別描述����。
四����、風(fēng)險(xiǎn)處理���,通過一系列的規(guī)劃設(shè)計(jì)��,確立信息安全風(fēng)險(xiǎn)實(shí)施項(xiàng)目�����,并制定落實(shí)項(xiàng)目的實(shí)施���。這個(gè)環(huán)節(jié)包括了以下幾個(gè)具體細(xì)節(jié)工作:第一、根據(jù)成本��、目標(biāo)和范圍等確定處理的策略�����。第二���、根據(jù)管理和技術(shù)約束來選擇安全措施�����。第三�、以項(xiàng)目的形式,按優(yōu)先級(jí)別組織制定安全計(jì)劃��。第四����、依據(jù)項(xiàng)目管理落實(shí)實(shí)施計(jì)劃。最后強(qiáng)調(diào)一點(diǎn)����,“信息安全風(fēng)險(xiǎn)管理”是一個(gè)持續(xù)性的管理工作,應(yīng)該作為企業(yè)組織一種常態(tài)的管理內(nèi)容定期的或者當(dāng)與安全相關(guān)的事件在組織內(nèi)發(fā)生時(shí)啟動(dòng)實(shí)施�����。每個(gè)企業(yè)��、組織都應(yīng)該具備自己完成這個(gè)管理的能力�����。
..
|
