國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISO27001信息安全風險的管理是關于實現(xiàn)和維護信息系統(tǒng)機密性、完整性和可用性的與安全相關的所有方 面,,理想的安全風險標準應該是一個集成的,、一致的、可分析的,、切合實際的,、成本效益平衡的方法。從信息安 全風險管理分類的介紹可以看出,,信息安全風險除安全技術風險外,還涉及安全政策,、標準,、意識、戰(zhàn)略等方 面,。比如ISO27001和 NISTSP800-26安全自評估指南(Security Self Assessment Guide),,則注重安全管理方面多于安全產(chǎn)品和系統(tǒng),是可以經(jīng)過調整適合組織需要,,進行自我評估的良好標準,,已在各種類型組織、公共和私人部門,,以及工商業(yè)得到廣泛的應用,。但由于上述標準涉及的安全方面都缺乏定量的安全測度方法,因此不同評估人員,,則會由于主觀的原因,,給出不同的風險等級,使結果缺乏可信度,,不能直接拿來使用,。
ISO27001信息安全風險分類不僅要考慮風險發(fā)生的可能性和由此而引起的可能后果,而且要在單一風險基 礎上,同時考慮各項風險之間的相互關系,,對綜合安全風險進行分析和評估,。論文從信息安全科學的角度,在對 上述安全風險管理標準的比較基礎上,,綜合環(huán)境,、人員、管理,、技術,、法律、經(jīng)濟等系統(tǒng)風險問題,,把信息安全 風險分為:人員風險,、組織風險、物理環(huán)境風險,、信息機密性/完整性風險,、系統(tǒng)風險、通信操作風險,、基礎設 施風險,、業(yè)務連續(xù)性風險、第三方風險,、風險評估風險,、法律風險和風險決策風險共十二個方面。
1)人員風險
由于組織缺乏人員安全管理,、明確的職責和意識教育,,內部無意或惡意人員的失誤或攻擊,以及來自外部惡 意或好奇人員或組織的攻擊,,會使組織業(yè)務面臨大的風險,。
2)組織風險
如果組織在信息安全組織管理方面基礎薄弱、職責不清,、技術服務能力差等原因,,使組織在信息安全管理方 面處于失控狀態(tài),加大了信息安全風險,。
3)物理環(huán)境風險
由于缺乏對組織場所的安全保衛(wèi),,或是防水、防火,、防雷等保護措施,,在面臨偷盜、自然災難時,,有時會造 成極大的損失,。
4)信息機密性/完整性風險
信息是組織信息技術系統(tǒng)裝載的業(yè)務數(shù)據(jù),,是一種非常重要價值的資產(chǎn),甚至一些觀點認為信息是組織的血 液,,是“一種在資產(chǎn)負債表之外,,經(jīng)過逐漸積累的,可以被用來提升組織競爭優(yōu)勢的信息”,。同實物資產(chǎn)相比,, 信息非常分散并且易于復制,是組織業(yè)務流程的重要輸入和輸出數(shù)據(jù),,比如客戶資料,、產(chǎn)品設計等,如果得不到正確的識別,、評估,、保存和管理,就面臨可能被竊取,、損毀,、丟失的風險,不但使依賴于這些關鍵信息的核心業(yè) 務造成嚴重損壞,,還會對組織的信譽,、聲望造成巨大損失,甚至會摧毀整個組織,。
信息風險管理,,主要是保證信息的機密性、完整性和可用性,。
5)系統(tǒng)風險
通常所用的計算機操作系統(tǒng),,以及大量應用軟件在組織業(yè)務交流中的使用,尤其是定制應用產(chǎn)品,,來自這些 系統(tǒng)和應用軟件的問題和缺陷會對一系列系統(tǒng)造成影響,,尤其是多個應用系統(tǒng)互聯(lián)時,,影響會涉及整個組織的多個系統(tǒng),。比如有的系統(tǒng)維護困難、結構不完善,、缺乏文檔,、設計漏洞等多種問題,有時會在系統(tǒng)升級和安裝補丁 時引入較高的風險,。
系統(tǒng)風險要求機構對系統(tǒng)應用具備協(xié)同,、維護、測試,、版本管理,、配置管理,、系統(tǒng)管理、監(jiān)控等方面具備管理能力,。
6)通信操作風險
如果在通訊加密,、應用分區(qū)、防病毒,、IDS 等安全措施出現(xiàn)技術或管理問題時,,被攻擊者利用后,會引發(fā)信 息安全風險,。
7)基礎設施風險
基礎設施包括支撐業(yè)務應用系統(tǒng)的網(wǎng)絡(局域網(wǎng),、廣域網(wǎng)、互聯(lián)網(wǎng),、專線網(wǎng),、無線網(wǎng))、硬件(服務器,、主 機,、應用終端、共享設備),、物理環(huán)境,,它們是組織業(yè)務賴以生存的基礎(如電力、WEB服務器,、數(shù)據(jù)庫服務器等),,一旦出現(xiàn)故障或中斷,它所承載的應用也會出現(xiàn)問題或停頓,。
基礎設施風險要求組織在應用層,、網(wǎng)絡層、鏈路層,、物理層面進行綜合防御,。
8)業(yè)務連續(xù)性風險
依賴于信息系統(tǒng)服務的組織關鍵業(yè)務可能因系統(tǒng)的“宕機”而中斷,或是因系統(tǒng)服務效能的降低(如響應時間過長)造成新客戶的流失或老客戶的轉移,。
業(yè)務連續(xù)性風險,,要求機構具備信息技術服務、安全事件處理和災難恢復能力,。
9)第三方合作風險
第三方指服務供應商,、銷售商。隨著外包業(yè)務的興起,,許多組織業(yè)務依賴于供應商和銷售商的服務提供,,由 于不完備的合同、第三方服務能力性能下降,、不適應快速增長的業(yè)務需求,、缺乏第三方的管理經(jīng)驗,、產(chǎn)品支持失 效、過短的升級周期,、功能性不足等多種風險因素,,導致第三方服務失效。
第三方合作風險要求在合同談判,、轉換服務上加強風險管理,。
10)風險評估風險
如果不專業(yè)的風險評估人員、不科學的評估方法,、不一致的評估標準常常會造成系統(tǒng)風險評估的不一致,、不 正確的風險評估結果,造成風險決策出現(xiàn)失誤,。
11)法律風險
在信息系統(tǒng)的運行過程中,,由于不知曉國家法律,或是明知故犯,,使組織面臨由于個人隱私泄露所造成的風險,。
12)決策風險
應用風險評估的結果進行風險決策和控制選擇是信息安全風險管理的核心,也是最終的目標,。如果在風險分 析,、評估、控制方面不能全面,、科學反映組織的安全狀態(tài),,決策者可能會在安全投資方面出現(xiàn)重大失誤。決策風 險主要是依據(jù)風險評估的結果在風險避免,、風險減緩,、風險轉移和風險承受四個方面進行權衡決策,避免決策失誤,。
關注卓越空間
關注卓越微博
關注卓越微信