风险管理与评估之信息安全风险管理
一,信息安全风险管理概述。
1、   信息安全风险管理的范围和对象
信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全。
A、    信息指信息自身;信息载体指信息的承载体,(包括物理平台、系统平台、网络平台和应用平台)信息环境指信息及信息载体所处的环境(包括硬环境和软环境)。
B、    信息安全风险管理是基于风险的信息安全管理,也就是始终以风险为主线进行信息安全的管理。
对于一个具体的信息系统,信息安全风险管理主要涉及到该信息系统的关键和敏感部分。因此,根据实际信息系统的不同,信息安全风险管理的侧重点,即重点选择的风险管理范围和对象有所不同。
2、   信息安全风险管理的内容和过程
A、    信息安全风险管理包括对象确立、风险评估、风险处理、审核批准、监控与审查和沟通与咨询六个方面的内容。对象确立、风险评估、风险处理和审查批准是信息安全风险管理的四个基本步骤。而监控与审查和沟通与咨询则贯穿于这四个基本步骤之中。
B、    <1>对象确立:根据要保护系统的业务目标和特性,确定风险管理对象。
<2>风险评估:针对确立的风险管理对象所面临的风险进行识别、分析和评价。
<3>风险处理:依据风险评估的结果,选择和实施合适的安全措施。
<4>审核批准:包括审核和批准两部分:审核是通过审查、测试、评审等手段,检验风险评估和风险处理的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。
C、    对象确立、风险评估、风险处理和审核批准构成了一个螺旋式上升的循环,使得受保护系统在自身和环
境的变化中能够不断应对新的安全需求和风险。
D、    监控是监视和控制,一是监视和控制风险管理过程(即过程质量管理,以保证上述四个步骤的过程有效性)。二是分析和平衡成本效益,(即成本效益管理,以保证上述四个步骤的成本有效性)。
E、    审查是跟踪保护系统自身或所处环境的变化,以保证上述四个步骤的结果有效性。
<在当前步骤的监控和审查结果通过时,进入下一人步骤;否则,继续当前步骤或退到前面的适当步骤。由此,保证主循环中各步骤的有效性。>      
F、沟通与咨询为上述四个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径,以提供他们的风险意识和知识,配合实现安全目标。
3、   信息安全风险管理与信息系统生命周期和信息安全目标的关系
A、    信息系统生命周期
信息系统生命周期是某一信息系统从无到有,再到废弃的整个过程,包括规划、设计、实施、运维和废弃六个基本过程。
B、    信息安全目标
信息安全目标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别。
信息安全基本属性包括保密性、完整性、可用性、可追究性和抵赖性等,每一属性都有相应的保障级别作为其强度的度量。
C、    三者关系
信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系,构成三维结构
   第一维(X轴)表信息系统生命周期(对象确立、风险评估、风险处理和审核批准四个基本步聚,以及贯穿这四个基本步骤的监控与审查和沟通与咨询。)
   第二维(Y轴)表信息系统生命周期。(规划、设计、实施、运维和废弃五个基本阶段。)
   第三维(Z轴)表信息安全目标(保密性、完整性、可用性、可追究性和抵赖性五个信息安全基本属性,及它们的保障级别。)
                            <信息系统生命周期的任何一个阶段,为了达到其信息安全目标,都需要相应的信息安全风险管理。>
4、   信息安全风险的角色和责任
信息安全风险管理是基于风险的信息系统安全管理。因此,信息安全风险管理涉及人员,既包括信息安全风险管理的直接参与人员,也包括信息系统的相关人员。
例表:
层面
               信息系统
     信息安全风险管理
角色
  内外部
      责任
角色
 内外部
 责任
决策层
主管者
负责信息系统的重大决策。
主管者
负责信息安全风险管理的重大决策
管理层
管理者
 
负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。
管理层
负责信息安全风险管理的规划,及实施和监控过程中的组织和协调。
 
 
执行层
 
 
建设者
  内或外
负责信息系统的设计和实施
 
 
 
执行者
 
 
 
 
 内或外
 
 
负责信息安全风险管理的实施。
运行者
 
负责信息系统的日常运行和操作
维护者
  内或外
 负责信息系统的日常维护,包括维修和升级。
监控者
 
负责信息系统的监视和控制
监控者
 
负责信息安全风险管理过程、成本和结果的监视和控制。
 
支持层
 
专业者
 
为信息系统提供专业咨询、培训、诊断和工具等服务
 
专业者
 
 
为信息安全风险管理提供专业咨、培训、诊断和工具等服务。
用户层
使用者
 内或外
利用信息系统完成自身的任务
受益者
 内或外
反馈信息安全风险管理的效果