[企业管理]信息安全管理第四章.ppt

第四章 风险识别和评估 引入: 人体的反应 0.与风险评估有关的概念 威胁－－指可能对资产或组织造成损害的事故的潜 在原因 薄弱点－－指资产或资产组中能被威胁利用的弱点 风险－－特定的威胁利用资产的一种或一组薄弱 点，导致资产的丢失或损害的潜在可能 性，即特定威胁事件发生的可能性与后果 的结合 风险评估 －－ 对 信 息 和 信 息 处 理 设 施 的 威 胁、影响和薄弱点及三者发生的 可能性的评估 风险 管 理－－以可接受的费用识别、控 制、降低 或消除可能影响信息系统的安全风 险的过程 安全控制 －－降 低 安 全 风 险 的 惯 例、程 序 或 机制 剩余风 险－－实 施 安 全 控 制 后， 剩 余 的 安全 风险 适用性 声 明 －－适 用 于 组 织 需 要 的 目标和控 制的评述。适用性声明是一个包 含组织所选择的控制目标与控制 方式的文件，相当于一个控制目 标与方式清单，其中应阐述选择 与不选择的理由 资产具有价值，并会受到威胁的潜在影响 薄弱点将资产暴露给威胁，威胁利用薄弱点对资产 造成影响 威胁与薄弱点的增加导致安全风险的增加 安全风险的存在对组织的信息安全提出要求 安全控制应满足安全要求 1.资产识别 管理者确认机构的信息资产，将它们归入各个不同 的类，并根据它们在总体上的重要性划分优先级别 （1）建立信息资产清单 ①识别硬件、软件和网络资产 －－如果机构利用资产购买清单自动管理系统， CISO 或 CIO 的责任就是确定哪种软件包最适 合机构的需要 －－没有使用清单自动管理系统的机构就必须建立 起类似的人工操作过程 －－重要的是，必须确定每一种信息资产的哪些属 性需要受到追踪 命名：一张设备或程序常用名单 IP 地址：该属性对网络设备和服务器很有用， 但很少对软件有所影响 媒体访问控制（MAC）地址：硬件地址 产品序列号：一种识别特定设备的惟一序列号， 一些软件商也给机构许可的每个程 序分配一个软件序列号 资产类型：用于描述每一种资产的功能或作用 制造商：当某个制造商公布其产品漏洞时，该属 性有助于分析潜在威胁 制造型号或部件编号：该编号能正确识别资产， 在漏洞分析中很有用 软件版本号、更新修订版号或域变更通知号 物理位置：该属性并不属于软件要素。但一些机 构可能指出在何处可以使用软件的许 可条款 逻辑位置：用以指定资产在机构内部网络中的位 置 控制实体：控制资产的机构部门 ②识别人员、流程和数据资产 －－人力资源、文档和数据信息资产不易识别和引 证。应该把识别、描述和评估这些信息资产的 职责分配给拥有必要知识、经验和判断能力的 管理者 人员 职位名称 /编号 /ID：不使用始名；使用职称、角色或功能来描述 主管名称 /编号 /ID：不使用始名；使用职称、角色或功能来描述 安全检查层 特殊技能 流程 描述 目的 相关的软件 /硬件 /网络要素 参考资料存储位置 更新数据存储位置 数据 分类 所有者 /创建者 /管理者 数据结构范围 所用的数据结构：比如，连续的或相关的 在线或脱机 位置 备份流程 （2）资产分级和分类 －－确定资产