資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估方法》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1��、從最開(kāi)始接觸風(fēng)險(xiǎn)評(píng)估理論到現(xiàn)在�,已經(jīng)有將近5個(gè)年頭了,從最開(kāi)始的膜拜捧為必殺技�,然后是有一陣子懷疑甚至預(yù)棄之不用,到現(xiàn)在重拾之����,尊之為做好安全的必備法寶,這么一段起起伏伏的心理歷程�����。對(duì)風(fēng)險(xiǎn)的方法在一步步的加深�,本文從風(fēng)險(xiǎn)評(píng)估工作最突出的問(wèn)題:如何得到一致的、可比較的��、可重復(fù)的風(fēng)險(xiǎn)評(píng)估結(jié)果��,來(lái)加以分析討論�。1.風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀風(fēng)險(xiǎn)理論也逐漸被廣大信息安全專(zhuān)業(yè)人士所熟知,以風(fēng)險(xiǎn)驅(qū)動(dòng)的方法去管理信息安全已經(jīng)被大部分人所共知和接受��,這幾年國(guó)內(nèi)等級(jí)保護(hù)的如火如荼的開(kāi)展,風(fēng)險(xiǎn)評(píng)估工作是水漲船高���,加之國(guó)內(nèi)信息安全咨詢(xún)和服務(wù)廠商和機(jī)構(gòu)不遺余力的推動(dòng)�����,風(fēng)險(xiǎn)評(píng)估實(shí)踐也在不斷的深入����。當(dāng)前的風(fēng)險(xiǎn)評(píng)估
2����、的方法主要參照兩個(gè)標(biāo)準(zhǔn),一個(gè)是國(guó)際標(biāo)準(zhǔn)《ISO13335信息安全風(fēng)險(xiǎn)管理指南》和國(guó)內(nèi)標(biāo)準(zhǔn)《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》��,其本質(zhì)上就是以信息資產(chǎn)為對(duì)象的定性的風(fēng)險(xiǎn)評(píng)估�。基本方法是識(shí)別并評(píng)價(jià)組織/企業(yè)內(nèi)部所要關(guān)注的信息系統(tǒng)���、數(shù)據(jù)�、人員��、服務(wù)等保護(hù)對(duì)象,在參照當(dāng)前流行的國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)如ISO27002,COBIT���,信息系統(tǒng)等級(jí)保護(hù)�����,識(shí)別出這些保護(hù)對(duì)象面臨的威脅以及自身所存在的能被威脅利用的弱點(diǎn),最后從可能性和影響程度這兩個(gè)方面來(lái)評(píng)價(jià)信息資產(chǎn)的風(fēng)險(xiǎn)�����,綜合后得到企業(yè)所面臨的信息安全風(fēng)險(xiǎn)�����。這是大多數(shù)組織在做風(fēng)險(xiǎn)評(píng)估時(shí)使用的方法����。當(dāng)然也有少數(shù)的組織/企業(yè)開(kāi)始在資產(chǎn)風(fēng)險(xiǎn)
3、評(píng)估的基礎(chǔ)上��,在實(shí)踐中摸索和開(kāi)發(fā)出類(lèi)似與流程風(fēng)險(xiǎn)評(píng)估等方法�����,補(bǔ)充完善了資產(chǎn)風(fēng)險(xiǎn)評(píng)估。2.風(fēng)險(xiǎn)評(píng)估的突出問(wèn)題信息安全領(lǐng)域的風(fēng)險(xiǎn)評(píng)估甚至風(fēng)險(xiǎn)管理的方法是借鑒了銀行業(yè)成熟的風(fēng)險(xiǎn)管理方法�����,銀行業(yè)業(yè)務(wù)風(fēng)險(xiǎn)管理的方法已經(jīng)發(fā)展到相當(dāng)成熟的地步���,并且銀行業(yè)也有非常豐富的基礎(chǔ)數(shù)據(jù)支撐著風(fēng)險(xiǎn)分析方法的運(yùn)用���。但是,風(fēng)險(xiǎn)評(píng)估作為信息安全領(lǐng)域的新生事物�,或者說(shuō)舶來(lái)之物,盡管信息安全本身在國(guó)內(nèi)開(kāi)展也不過(guò)是10來(lái)年���,風(fēng)險(xiǎn)評(píng)估作為先進(jìn)思想也存在著類(lèi)似“馬列主義要與中國(guó)的實(shí)際國(guó)情結(jié)合走中國(guó)特色社會(huì)主義道路”的問(wèn)題���。風(fēng)險(xiǎn)評(píng)估的定量評(píng)估方法缺少必要的土壤,沒(méi)有基礎(chǔ)的����、統(tǒng)計(jì)數(shù)據(jù)做支撐,定量風(fēng)險(xiǎn)評(píng)估寸步難移;而定性
4��、的風(fēng)險(xiǎn)評(píng)估其方法的本質(zhì)是定性�,所謂定性���,則意味著估計(jì)、大概�,不準(zhǔn)確,其本質(zhì)的缺陷給實(shí)踐帶來(lái)無(wú)窮的問(wèn)題��,重要問(wèn)題之一就是投資回報(bào)問(wèn)題����,由于不能從財(cái)務(wù)的角度去評(píng)價(jià)一個(gè)/組風(fēng)險(xiǎn)所帶來(lái)的可能損失,因此����,也就沒(méi)有辦法得到投資回報(bào)率�,盡管這是個(gè)問(wèn)題,但是實(shí)踐當(dāng)中���,一般大的企業(yè)都會(huì)有個(gè)基本的年度預(yù)算�,IT/安全占企業(yè)年度預(yù)算的百分之多少���,然后就是反正就這么些錢(qián)��,按照風(fēng)險(xiǎn)從高到低或者再結(jié)合其他比如企業(yè)現(xiàn)有管理和技術(shù)水平����,項(xiàng)目實(shí)施的難易度等情況綜合考慮得到風(fēng)險(xiǎn)處理優(yōu)先級(jí),從高到低依次排序�,錢(qián)到哪花完,風(fēng)險(xiǎn)處理今年就處理到哪���。這方法到也比較具有實(shí)際價(jià)值��,操作起來(lái)也容易�,預(yù)算多的企業(yè)也不怕錢(qián)花不
5���、完����,預(yù)算少的企業(yè)也有其對(duì)付辦法��,你領(lǐng)導(dǎo)就給這么些錢(qián)�����,哪些不能處理的風(fēng)險(xiǎn)反正我已經(jīng)告訴你啦�����,要是萬(wàn)一出了事情你也怪不得我,沒(méi)有出事情�,等明年有錢(qián)了再接著處理。這也不算難的��,最難最突出的是那些不僅僅做個(gè)一次風(fēng)險(xiǎn)評(píng)估的企業(yè)�����,出問(wèn)題了�,幾次風(fēng)險(xiǎn)評(píng)估的結(jié)果不具有可比性,有時(shí)甚至還出現(xiàn)矛盾的地方��,比方說(shuō)��,某個(gè)部門(mén)去年是某個(gè)崗位的上一任做的�,今年是另一位做的����,評(píng)估結(jié)果不能反映去年到今年做的工作改善了企業(yè)所面臨的信息安全風(fēng)險(xiǎn)狀況�,甚至細(xì)致到某個(gè)風(fēng)險(xiǎn)上;更有甚者�����,比如上次對(duì)于某個(gè)重要系統(tǒng)�,由于沒(méi)有必要的操作規(guī)程而導(dǎo)致誤操作而影響系統(tǒng)安全的風(fēng)險(xiǎn),采取�����、規(guī)范了操作流程并且培訓(xùn)了相關(guān)操作人員等控制
6、措施����,按理說(shuō)這個(gè)風(fēng)險(xiǎn)已經(jīng)是得到必要的控制,風(fēng)險(xiǎn)降低了,但是偏偏評(píng)估的結(jié)果不降反升了���。這個(gè)問(wèn)題��,歸納為一句就是:風(fēng)險(xiǎn)評(píng)估如何得到一個(gè)一致的���、可比較的��、可重復(fù)的評(píng)估結(jié)果����。3.對(duì)策針對(duì)定性風(fēng)險(xiǎn)評(píng)估這個(gè)突出問(wèn)題�����,在解決這個(gè)問(wèn)題之前��,我們先有必要清晰的界定這個(gè)問(wèn)題���。有人可能會(huì)問(wèn),我們企業(yè)在風(fēng)險(xiǎn)評(píng)估結(jié)果中�����,某項(xiàng)風(fēng)險(xiǎn)為100的風(fēng)險(xiǎn)是不是意味著很大呢?或者問(wèn)我們企業(yè)風(fēng)險(xiǎn)評(píng)估結(jié)果某項(xiàng)風(fēng)險(xiǎn)值為30的風(fēng)險(xiǎn)是不是比其他企業(yè)同類(lèi)型風(fēng)險(xiǎn)其風(fēng)險(xiǎn)值為100的風(fēng)險(xiǎn)小呢���?答案是:都不是����。定性風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)值僅僅是個(gè)相對(duì)值���,其數(shù)值本身的大小不具有意義�����,其值只在整個(gè)風(fēng)險(xiǎn)參照體系中才具有相對(duì)(高/低)價(jià)值�����。企業(yè)與企
7��、業(yè)之間的安全風(fēng)險(xiǎn)對(duì)比����,只有在使用同一風(fēng)險(xiǎn)評(píng)估方法(包括風(fēng)險(xiǎn)計(jì)算方法一致��,定性尺度一致),最好是相同行業(yè)并且業(yè)務(wù)相似的情況下����,才具有橫向可比性。在同一企業(yè)內(nèi)部�,風(fēng)險(xiǎn)評(píng)估結(jié)果要在不同部門(mén)橫向比較����,在同一部門(mén)縱向比較��,那么�,則也必須在同一風(fēng)險(xiǎn)評(píng)估方法(包括風(fēng)險(xiǎn)計(jì)算方法一致�,定性尺度一致)下才具有可比性。定性風(fēng)險(xiǎn)評(píng)估其實(shí)踐操作中,主要依靠評(píng)估者的個(gè)人經(jīng)驗(yàn)和判斷��,具有很強(qiáng)的主觀特性��,那我們的問(wèn)題就變成了:在同一風(fēng)險(xiǎn)評(píng)估方法下��,如何盡可能的剔除評(píng)估者的主觀干擾���,使得風(fēng)險(xiǎn)評(píng)估的結(jié)果更接近與風(fēng)險(xiǎn)的真實(shí)狀況(盡管這種風(fēng)險(xiǎn)真實(shí)狀況無(wú)法
