信息安全风险管理培训机构名称讲师姓名版本:3.0发布日期:2014-12-1生效日期:2015-1-1课程内容2知识体知识域知识子域信息安全风险管理信息安全风险管理主要内容信息安全风险管理的基本内容和过程信息安全风险管理概述风险相关基本概念信息系统生命周期与信息安全风险管理信息安全风险管理基础信息安全风险相关政策与标准信息安全风险评估风险评估工作形式风险评估方法风险评估的实施流程风险评估工具知识域:信息安全风险管理基础知识子域:风险相关基础概念理解风险的概念,理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念理解风险准则、风险评估、风险处理、风险管理、残余风险的概念,掌握信息安全风险评估的概念理解风险相关要素之间的关系3风险,指事态的概率及其结果的组合(——GB/Z24364-2009《信息安全风险管理指南》)信息安全风险,指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响(——GB/T20984-2007《信息安全风险评估规范》)信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性风险、信息安全风险的概念4风险的构成包括五个方面:起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)和后果(影响)风险的构成5资产载体威胁源威胁行为影响环境脆弱性风险相关术语资产(Asset)威胁(Threat)脆弱性(Vunerability)可能性(Likelihood,Probability)安全措施/控制措施(Countermeasure,safeguard,control)6业务战略安全事件安全需求风险准则风险评估风险处理风险管理残余风险(ResidentalRisk)信息安全风险评估资产资产是任何对组织有价值的东西,是要保护的对象资产以多种形式存在(多种分类方法)物理的(如计算设备、网络设备和存储介质等)和逻辑的(如体系结构、通信协议、计算程序和数据文件等)硬件的(如计算机主板、机箱、显示器、键盘和鼠标等)和软件的(如操作系统软件、数据库管理软件、工具软件和应用软件等)有形的(如机房、设备和人员等)和无形的(如品牌、信心和名誉等)静态的(如设施和规程等)和动态的(如人员和过程等)技术的(如计算机硬件、软件和固件等)和管理的(如业务目标、战略、策略、规程、过程、计划和人员等)等7威胁可能导致对系统或组织危害的不希望事故潜在起因引起风险的外因威胁源采取恰当的威胁方式才可能引发风险威胁举例操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析8漏洞利用拒绝服务窃取数据物理破坏社会工程脆弱性可能被威胁所利用的资产或若干资产的薄弱环节造成风险的内因脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足9可能性某件事发生的机会威胁源利用脆弱性造成不良后果的机会举例脆弱性只有国家级测试人员采用专业工具才能利用,发生不良后果的机会很小系统存在漏洞,但只在与互联网物理隔离的局域网运行,发生不良后果的机会较小互联网公开漏洞且有相应的测试工具,发生不良后果的机会很大10对风险概念的理解威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性网站存在SQL注入漏洞,普通攻击者利用自动化攻击工具很容易控制网站,修改网站内容,从而损害国家政府部门声誉11威胁源威胁方式脆弱性风险采取利用造成对信息安全风险的理解信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或损害的可能性信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性信息安全风险只考虑那些对组织有负面影响的事件12信息安全风险评估13是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响风险处理、风险管理14风险处理是选择并且执行措施来更改风险的过程风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程安全措施/控制措施保护资产,抵御威胁,减少脆弱性,降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制,它是管理风险的具体手段和方法根据安全需求部署,用来防范威胁,降低风险的措施举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度15残余风险采取了安全措施后,信息系统仍然可能存在的风险有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视,它可能会在将来诱发新的安全事件举例风险列表中有10项风险,根据风险成本效益分析,只有前8项需要控制,则前8项处理后剩余的风险加上另2项风险为残余风险,一段时间内系统处于风险可接受水平16风险相关要素之间的关系17业务战略脆弱性资产资产价值暴露具有威胁利用风险安全需求残余风险安全事件安全措施确定成本满足演变未控制可能诱发增加导出降低抵御增加未被满足依赖知识域:信息安全风险管理基础知识子域:信息安全风险管理概述理解实施风险管理的主要原则理解风险管理的范围和对象18实施风险管理的主要原则风险管理创造和保护价值风险管理是所有组织过程不可分割的一个部分,促进组织的持续改进风险管理是透明的,参与人员应包含广泛,同时考虑人员和文化因素风险管理是定制的,并具有体系化、结构化的特点风险管理是动态的、反复的和响应变化的19风险管理的范围和对象信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全信息载体指承载信息的媒介,即用于记录、传输、积累和保存信息的实体,如纸张、硬盘、网线等信息环境指信息及信息载体所处的环境,包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象对于一个具体的信息系统,风险管理选择的范围和对象重点应有所不同20知识域:信息安全风险管理基础知识子域:信息安全风险相关政策与标准了解我国有关信息安全风险管理的政策要求了解信息安全风险管理相关的国内外标准21我国有关信息安全风险管理的政策要求《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出要重视信息安全风险评估工作,将风险评估作为提高我国信息安全保障水平的一项重要举措《关于开展信息安全风险评估工作的意见》(国信办[2006]5号),就信息安全风险评估工作的基本内容和原则,以及开展信息安全风险评估工作的有关安排等做出规定和部署《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号),规范了国家电子政务工程建设项目信息安全风险评估工作22《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)的实施要求信息安全风险评估工作应当贯穿信息系统全生命周期。规划设计阶段、验收时均应实施风险评估;运行后应定期实施应通过信息安全风险评估为信息系统确定安全等级提供依据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求23《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)的管理要求为规避由于风险评估工作而引入新的安全风险,必须高度重视信息安全风险评估的组织管理工作。要求:•参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务•风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议•对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行24《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2071号)电子政务工程建设项目应开展信息安全风险评估工作项目建设单位应在试运行期间开展风险评估工作,作为项目验收的重要依据项目验收申请时,应提交信息安全风险评估报告系统投入运行后,应定期开展信息安全风险评估25信息安全风险管理相关的国内外标准GB/T20984-2007《信息安全风险评估规范》GB/Z24364-2009《信息安全风险管理指南》ISO/IEC27005:2011《信息安全风险管理》ISOGUIDE73:2009《风险管理-术语》ISO31000:2009《风险管理-主要原则和指南》IEC/ISO31010:2009《风险管理-风险评估技术》NISTSP800-30(2012)《实施风险评估指南》NISTSP800-39(2011)《管理信息安全风险:组织、使命和信息系统梗概》NISTSP800-37(2010)《联邦信息系统应用风险管理框架指南:安全生命周期方法》NISTSP800-53(2010)《为联邦信息系统和组织推荐的安全控制措施》NISTSP800-53A(2010)《联邦信息系统和组织安全控制措施评估指南:建立有效的安全评估计划》26知识域:信息安全风险管理主要内容知识子域:信息安全风险管理的基本内容和过程理解背景建立的主要工作内容理解风险评估的主要工作内容理解风险处理的主要工作内容理解批准监督的主要工作内容理解监控审查的主要工作内容理解沟通咨询的主要工作内容27信息安全风险管理工作内容背景建立风险评估风险处理批准监督监控审查沟通咨询GB/Z24364《信息安全风险管理指南》:四个阶段,两个贯穿28背景建立背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析风险管理准备:确定对象、组建团队、制定计划、获得支持信息系统调查:信息系统的业务目标、技术和管理上的特点信息系统分析:信息系统的体系结构、关键要素信息安全分析:分析安全要求、分析安全环境29背景建立过程背景建立信息系统调查沟通咨询风险评估调查信息系统的业务目标调查信息系统的业务特性调查信息系统的技术特性调查信息系统的管理特性信息系统分析分析信息系统的体系结构分析信息系统的关键要素信息安全分析分析信息系统的安全要求分析信息系统的安全环境风险管理准备监控审查确定风险管理对象组建风险管理团队制定风险管理计划获得支持30风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动风险评估准备:制定风险评估方案、选择评估方法风险要素识别:发现系统存在的威胁、脆弱性和控制措施风险分析:判断风险发生的可能性和影响的程度风险结果判定:综合分析结果判定风险等级31风险评估过程风险评估背景建立风险处理风险结果判定风险分析风险评估准备风险要素识别制定风险评估计划制定风险评估方案选择风险评估方法和工具识别面临的威胁并赋值识别存在的脆弱性并赋值实施风险计算计算安全事件造成的损失计算安全事件发生可能性确认已有的安全措施评价分析结果综合判定风险等级沟通咨询监控审查识别需要保护的资产并赋值32风险处理风险处理是为了将风险始终控制在可接受的范围内。现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以处理目标确认:不可接受的风险需要控制到怎样的程度处理措施选择:选择风险处理方式,确定风险控制措施处理措施实施:制定具体安全方案,部署控制措施33风险处理过程风险处理批准监督处理措施选择现存风险判断处理目标确立确定可接受风险等级判断现存风险是否可接受明确风险处理需求确立风险处理目标选择风险处理方式确定风险处理措施制定风险处理实施计划实施风险处理措施沟通咨询监控审查处理措施实施风险评估接受否是34减低风险转移风险规避风险接受风险常用的四类风险处置方法35减低风险通过对面临风险的资产采取保护