國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識(shí)園地
根據(jù)IS027001的標(biāo)準(zhǔn),風(fēng)險(xiǎn)評估應(yīng)包括兩部分:
一是估計(jì)風(fēng)險(xiǎn)大小的系統(tǒng)方法,,即風(fēng)險(xiǎn)分析,;
二是將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較,以確定風(fēng)險(xiǎn)嚴(yán)重性的過程,,即風(fēng)險(xiǎn)評價(jià),。
下面進(jìn)行詳細(xì)說明。
一,、風(fēng)險(xiǎn)分析
ISO27001風(fēng)險(xiǎn)分析的方法有很多種,,包括定性的方法和定量的方法。其最終落腳點(diǎn)大多數(shù)會(huì)歸結(jié)到“可能性”與“影響程度”上面,并根據(jù)“可能性”和“影響”的組合確定風(fēng)險(xiǎn)程度,。
而對于“可能性”與“影響”的評分,,可以根據(jù)歷史經(jīng)驗(yàn)定性地給出,也可以通過進(jìn)一步細(xì)化或者量化的方法更為精確地給出,,最常用的方法之一是通過資產(chǎn),、威脅和脆弱性三個(gè)屬性進(jìn)行分析。
1,、資產(chǎn)屬性:即資產(chǎn)價(jià)值,,指對信息資產(chǎn)的綜合評分,來源于企業(yè)的信息資產(chǎn)管理矩陣,,可以通過對信息 資產(chǎn)的機(jī)密性,、完整性、可用性三方面分別進(jìn)行定量評級(jí)后計(jì)算得出,。
2,、威脅屬性:指的是固有存在的威脅,需要考慮威脅產(chǎn)生的頻率和動(dòng)機(jī)等方面,。威脅是與資產(chǎn)相對應(yīng)的,, 不同類別的信息資產(chǎn)可能面臨不同類別的威脅,某一資產(chǎn)可能同時(shí)面臨多個(gè)不同的威脅,。相對的,,一個(gè)威脅可能對不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件,。不同的威脅有著不同的動(dòng)機(jī)和能力,,因此, 可以對威脅進(jìn)行分析,,對其出現(xiàn)的頻率量化和賦值,。
3、脆弱性屬性:指資產(chǎn)薄弱點(diǎn)的嚴(yán)重程度,,也以理解為資產(chǎn)被威脅所利用的可能性,。薄弱點(diǎn)可能來自軟件、硬件,、也可能來源于人員,、環(huán)境及管理等方面。某個(gè)威脅可能利用多個(gè)薄弱點(diǎn),, 一個(gè)薄弱點(diǎn)也可能被多個(gè)威脅利用,, 弱點(diǎn)一旦被威脅利用就可能產(chǎn)生風(fēng)險(xiǎn), 從而影響到組織的運(yùn)行或可持續(xù)性發(fā)展,。通常從管理和技術(shù)兩個(gè)方面,,通過人員訪談,、現(xiàn)場觀察、文檔流程檢查等方法針對不同的資產(chǎn)進(jìn)行脆弱性的嚴(yán)重程度量化和賦值,。
4、通過對資產(chǎn),、威脅和脆弱性的評級(jí),,匯總成為“可能性”與“影響”的評分,再進(jìn)而得到風(fēng)險(xiǎn)值的量化 評分,。
二,、風(fēng)險(xiǎn)評價(jià)
通過上述ISO27001風(fēng)險(xiǎn)分析的過程,我們可以得到企業(yè)的風(fēng)險(xiǎn)列表,,即源于不同資產(chǎn),,不同威脅以及現(xiàn)有 的控制水平基礎(chǔ)上的所有風(fēng)險(xiǎn)。ISO27001風(fēng)險(xiǎn)的高低可依照得分的高低排序,,其中得分為8的為最高風(fēng)險(xiǎn)點(diǎn),,為0的為最低風(fēng)險(xiǎn)點(diǎn)。
基于此表,,風(fēng)險(xiǎn)評估要設(shè)定一個(gè)可接受的風(fēng)險(xiǎn)值,,通常來講,此閾值的設(shè)定需要經(jīng)過信息安全管理委員會(huì)或 公司管理層的批準(zhǔn),。低于或等于這個(gè)分值的,,意味著風(fēng)險(xiǎn)可以接受,也就是可以維持現(xiàn)有的保護(hù)措施不變,。而高于此分值的風(fēng)險(xiǎn),,意味著風(fēng)險(xiǎn)過高,企業(yè)需要采取某些控制措施去降低,、回避或轉(zhuǎn)移風(fēng)險(xiǎn),。同時(shí),對采取控制措 施后的脆弱性進(jìn)行進(jìn)一步分析,,以確保如果新的控制措施得以有效執(zhí)行,,風(fēng)險(xiǎn)可以降低到可接受的范圍之內(nèi)。
最后通過舉例來進(jìn)行說明,,假設(shè)某公司部分信息資產(chǎn)相當(dāng)重要(資產(chǎn)價(jià)值評分為4),,而因?yàn)椴《緦?dǎo)致公司信息遭到泄露的威脅也很高(評分為高),再假設(shè)此公司未安裝任何防病毒軟件或防火墻,,那么在防病毒方面的脆弱性評級(jí)同樣很高(評級(jí)為高),,從而查表可以得到結(jié)論,此公司的信息資產(chǎn)因?yàn)椴淮嬖趯Σ《镜姆婪犊刂?,從而存在很高的風(fēng)險(xiǎn)(評級(jí)為8),,那么一定要對此風(fēng)險(xiǎn)進(jìn)行一定的改進(jìn)措施,,比如安裝殺毒軟件,購買防火墻等,。再例如,, 同樣的信息資產(chǎn)和威脅前提,但公司裝有殺毒軟件和防火墻,,只是防火墻的級(jí)別不夠高,,殺毒軟件沒有及時(shí)升級(jí),綜合評價(jià)其脆弱性水平為中,,查表可得由此而得的風(fēng)險(xiǎn)水平較高(評級(jí)為7),。對于此種風(fēng)險(xiǎn)就要進(jìn)行風(fēng)險(xiǎn)評價(jià),按照公司的實(shí)際情況確定是否需要進(jìn)行升級(jí)等措施使風(fēng)險(xiǎn)進(jìn)一步降低,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信