华夏认证中心 - ISO IEC 27001-2013 - 标准系列培训课程 - 信息安全风险管理.ppt
《华夏认证中心 - ISO IEC 27001-2013 - 标准系列培训课程 - 信息安全风险管理.ppt》由会员分享,可在线阅读,更多相关《华夏认证中心 - ISO IEC 27001-2013 - 标准系列培训课程 - 信息安全风险管理.ppt(87页珍藏版)》请在冰点文库上搜索。
,信息安全风险管理,华夏认证中心有限公司ChinaCertificationCenterInc.,ISO/IEC27001:
2013课程,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,沟通和磋商,监视和评审,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?
满足?
风险沟通和磋商,风险监视和评审,风险决策点1评估满足,风险决策点2处置满足,NO,NO,YES,YES,第一次结束或随后重复,信息安全风险评估过程,ISO31000风险评估过程,信息安全风险管理过程,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,沟通和磋商,监视和评审,9.绩效评价ISO/IEC27001:
2013,6.1.3.信息安全风险处置ISO/IEC27001:
2013,6.1.2.信息安全风险评估ISO/IEC27001:
2013,7.支持ISO/IEC27001:
2013,4.组织背景ISO/IEC27001:
2013,信息安全风险管理过程,ISMS的调整和风险管理过程,信息安全风险管理,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?
满足?
风险沟通和磋商,风险监视和评审,风险决策点1评估满足,风险决策点2处置满足,NO,NO,YES,YES,第一次结束或随后重复,信息安全风险管理过程,确定环境信息,外部环境信息内部环境信息,输入,基本准则说明范围和边界说明组织架构说明,输出,确定基本准则确定范围和边界确定组织架构,过程,实施指南,确定信息安全风险评估的宗旨:
支持ISMS符合法律和尽职调查的证据准备业务连续性计划准备事件响应计划描述某个产品、服务或机制对信息安全要求,确定环境信息,外部环境信息externalcontext组织寻求实现其目标的外部环境。
注:
外部环境可包括:
文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境,无论国际、国家、区域或地方对组织目标具有影响的主要驱动和趋势。
与外部利益相关方的关系和其感受和价值观。
ISO导则73:
2009,定义3.3.1.1,内部环境信息internalcontext组织寻求实现其目标的外部环境。
注:
内部状况可包括:
治理、组织结构、作用和责任;方针、目标、以及实现它们的战略;以资源和知识来理解的能力(如资本、时间、人员、过程、系统和技术);信息系统、信息流和决策过程(正式和非正式的);与内部利益相关方的关系、以及他们的感受和价值观;组织的文化;标准、指南和组织采用的模式;合同关系的形式和范围ISO导则73:
2009,定义3.3.1.2,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险管理方法根据风险管理的范围和目标的不同,可能采用不同的方法。
对于每一循环,所采用的方法也可能不同。
一个合适的风险管理方法应该选择或开发基本准则,如风险评价准则、影响准则、风险接受准则。
确定环境信息,风险评估技术,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,头脑风暴法,确定环境信息,风险矩阵法,确定环境信息,风险矩阵法,确定环境信息,consequence(后果):
outcomeofanevent(3.3)affectingobjectivesISOGuide73:
2009event(事态):
occurrenceorchangeofaparticularsetofcircumstancesISOGuide73:
2009AneventcanbedefinedasanydetectableordiscernibleoccurrencethathassignificanceforthemanagementoftheITInfrastructureorthedeliveryofITserviceandevaluationoftheimpactadeviationmightcausetotheservices.ITILV3EventsaretypicallynotificationscreatedbyanITservice,ConfigurationItem(CI)ormonitoringtool.ITILV3incident(事件):
AnunplannedinterruptiontoanITserviceorreductioninthequalityofanITservice.Failureofaconfigurationitemthathasnotyetimpactedserviceisalsoanincident,forexamplefailureofonediskfromamirrorset.ITILV3,基本概念,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险评价准则开发风险评价准则应考虑如下内容:
业务信息过程的战略价值相关信息资产的危险程度法律法规的要求和合同的义务运营和业务可用性、保密性、完整性的重要程度利益相关方的期望和认知,以及对信誉和名声的负面影响,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,影响准则开发影响准则应考虑如下内容,并以信息安全事态造成的对组织损害程度或成本的方式来说明:
受影响资产的分类级别信息安全的违背(如保密性、完整性和可用性的丧失)运行的受损(内部或第三方的)业务或财务价值的损失对计划和最后期限的破坏声誉的损失对法律法规或合同要求的违背,确定环境信息,潜在后果/影响定义示例:
确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则风险接受准则的常常依赖于组织的方针、目的、目标以及利益相关方的利益。
确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则开发风险可接受准则时,应该考虑以下方面:
风险接受准则可以包括带有风险期望目标级别的多个阈值,但在确定的情形下,提交给高层管理者接受的风险可能超出该级别风险可接受准则可以用估算收益(或业务收益)与估算风险的比值来描述对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险风险接受准则可以包括下一步的补充处置要求,例如,如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别,则风险可以被接受,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则风险接受准则可能因预计风险将多长时间存在而不同,例如风险可能与一个临时或短期活动相关。
设定风险接受准则时,应该考虑:
业务准则法律法规方面运营技术财务社会和人为因素,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,范围和边界需要定义信息安全风险管理过程的范围,以保证在风险评估过程中考虑到所有相关资产。
对任何排除在范围之外的,都应该提供正当的理由。
风险管理范围可能是一个IT应用、IT基础设施、一个业务过程或组织的某个界定部分。
需要定义边界以处理在边界处呈现的风险。
确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,范围和边界在定义范围和边界时,考虑以下信息:
组织的战略经营目标、战略和策略业务过程组织的职能和结构适用于组织的法律法规和合同义务的要求组织的信息安全方针组织风险管理的整体方法信息资产组织的位置及其地理特性影响组织的约束条件利益相关方的期望社会文化环境接口(与环境交换信息),确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,组织架构设置和维持信息安全风险管理过程的组织架构和职责,并由管理者批准。
下面是信息安全风险管理过程组织架构的主要角色和职责:
开发适合组织的信息安全风险管理过程识别和分析利益相关方定义组织内、外部各方的角色和职责在组织和相关利益方之间建立必要的联系,如组织高风险管理职能的接口(如运营风险管理),以及与其它项目或活动之间的接口定义决策升级路径说明需要保存的记录,风险评估,基本准则范围和边界组织架构,输入,已按优先级排序的风险清单,输出,识别风险分析风险评价风险,过程,实施指南,确定信息资产价值识别适用的威胁识别存在或可能存在的脆弱点识别现有控制措施及对已识别风险的影响确定潜在后果风险优先级排序风险评估通常会进行两个或多个循环先进行高级别风险评估识别潜在高风险后对潜在高风险做进一步的详细考虑,风险评价,风险分析,风险识别,风险评估,识别风险源、影响区域、事件(包括环境变化)以及原因和潜在后果。
目的是产生基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。
包括其风险源是否在组织控制下的风险,即使风险源或原因不明显也要识别。
包括考查特定后果的直接影响,包括联锁和累积影响。
包括识别什么可能发生,什么后果可能出现的可能原因和场景。
应用适合的目标、能力及所面临风险的风险识别工具和技术。
在识别风险时,最新的信息是重要的,包括可能的适当背景信息。
具有适当知识的人员宜参与到识别风险中。
信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,环境信息确定的范围和边界由所有者、位置和功能等构成的清单,输入,资产清单与资产相关的业务过程清单及相互关系,输出,在范围内识别信息资产,活动,实施指南,资产是对组织有价值的任何东西每个资产要有资产所有者,并安排职责和责任资产所有者可能并不对资产拥有所有权,但对资产的产生、开发、维护、使用有适当保护责任,风险评价,风险分析,风险识别,风险评估,信息资产分类举例:
基本资产业务过程或活动信息,支持性资产(基本资产所依赖的范围)硬件软件网络人员场所组织架构,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,信息资产分类举例,风险评价,风险分析,风险识别,风险评估,业务与支持性资产之间的关系OBASHI方法论评估业务运作的以下六个“层次”,前两个层次研究业务运作的方式,后四个层次研究支持这些运作活动的IT资产:
Ownership(利益相关者)BusinessProcess(业务流程)Application(应用程序)System(操作系统)Hardware(硬件)Infrastructure(基础架构),信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,所有权,业务流程,应用程序,系统,硬件,基础架构,产品与价格,创建订单,RoodManSafeSeller,价格,订单表,产品,MicrosoftSQLServer2005,客户订单处理,销售经理,WindowsXP,服务器,3GModem,网络安全,订单执行,发票生成,IT经理,供应总监,财务总监,软防火墙,QLServer,ABCAccounts,Linux,W2000,WS2003,硬防火墙,服务器,服务器,新订单,发票生成,交换机,主干网,DMZ交换机,Modem,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,Ownership(利益相关者)BusinessProcess(业务流程)Application(应用程序)System(操作系统)Hardware(硬件)Infrastructure(基础架构),信息技术服务生命周期(规划、建设、运维),OBASHI模型,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,服务,服务业务,应用系统,通用软件,硬件设备,物理位置,IT区域,网络设施,生产,灾备,保险类,投资类,核心类,辅助类,内部管理类,操作系统,中间件,数据库,存储,主机,负载均衡,总部,分支机构,接入区,核心区,办公区,路由器,交换机,防火墙,测试,基础设施,电源,空调,客服类,数据中心,安防,机房位置,机房1,机房3,机房2,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,事件评审的结果资产所有者、使用者外部提供的威胁清单其他来源,输入,包含威胁类型和威胁来源的威胁清单,输出,识别威胁和威胁来源,活动,实施指南,威胁是对信息、过程和系统等资产构成的潜在损害,由此组织带来的损害威胁可能是自然的或人为的,也可能是意外的或故意的,也可能是组织内部的或外部的威胁类型可能是非授权行为、物理损坏和技术失效威胁是持续变化的,特别是当业务环境或信息系统发生变化时,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,威胁等级示例,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,控制措施文档风险处置实施计划,输入,所有现有或计划的控制措施清单控制措施实施和使用状况,输出,识别现有控制措施识别已计划控制措施,活动,实施指南,识别现有控制措施时应检查其工作有效性控制措施没有预期工作,会形成脆弱点估算控制措施效果的方法是,看它怎样降低威胁发生的可能性、消除暴露的脆弱点或降低事件的影响按照风险处置计划将要实施的控制措施应该视同已经实施的控制措施,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,已知的威胁清单已知的资产清单现有的控制措施清单,输入,与资产、威胁和控制措施相关的脆弱点清单待评审的与已识别威胁不相关的脆弱点清单,输出,识别可被威胁利用的资产的脆弱点识别可对组织造成损害的脆弱点,活动,实施指南,脆弱点的存在本身不会形成损害,它需要被某个威胁利用如果脆弱点没有对应的威胁,则可不需要实施控制措施,但要监视其变化控制措施错误实施、失效或错误使用本身也是一个脆弱点如果威胁没有对应的脆弱点,也不会导致风险发生需要考虑不同来源的脆弱点,内在的或外来的,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,技术脆弱性评估方法(信息系统测试)漏洞自动扫描工具用于针对已知的脆弱服务,扫描一组主机或网络(如系统允许匿名的文件传输协议(FTP),邮件转发)。
应该注意,自动识别的某些潜在脆弱点在系统环境背景下可能并不是真正的脆弱点。
例如,某些扫描工具在对潜在脆弱点进行定级时,并不考虑场所环境和要求。
自动扫描软件标识的某些脆弱点对于特定场所可能并不是脆弱点,而且因环境要求必须如此配置。
因此,本测试方法可能报告虚假脆弱点。
安全测试和评价(STE)是在风险评估过程中识别ICT系统脆弱点的另外一个方法。
它包括开发和执行一个测试计划(如,测试脚本、测试过程和预期的测试结果)。
系统安全测试的目的是测试已经应用到某个运行环境中的ICT系统的安全控制措施的有效性。
目标是保证应用的控制措施满足已认可的软、硬件安全规范,满足组织的安全方针或行业标准。
渗透测试用作安全控制措施评审的补充,以保证ICT系统的不同方面都是安全的。
渗透测试可用于评估一个信息和通信技术系统防止企图绕过系统安全措施的能力。
目的是从威胁源的视点来测试ICT系统,以识别ICT系统保护方案的潜在失效点。
代码评审最为彻底(也可能是最为昂贵)的漏洞评估方式。
这些安全测试的结果将有助于识别系统的脆弱点。
特别需要注意,渗透工具和技术可能提供虚假的结果,除非脆弱点被成功利用。
为利用特定的脆弱点,需要知道被测试系统的系统、应用、补丁的准确设置。
如果在进行测试时,不知道这些数据,可能难以成功利用特定的脆弱点(例如,获取远程逆转界面);然而,还是可能导致崩溃或重新启动进程和系统。
在这种情形,应该认为被测试对象是存在脆弱点的。
方法包括以下活动:
人员和用户访谈调查问卷物理检查分析文件,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,资产清单业务过程清单威胁和脆弱点清单资产相关关系,输入,资产和业务过程相关的事件场景清单,输出,识别资产丧失保密性、完整性和可用性的后果,活动,实施指南,后果可能是有效性的丧失、不利的运行环境、业务的丧失、名誉的损失和损害等事件场景是对在信息安全事件中威胁利用某个特定的脆弱点或一组脆弱点的描述根据在确定环境信息活动中所定义的影响准则,确定事件场景的影响按资产的财务成本和资产破坏或损坏后带来的业务影响对资产赋值,风险评价,风险分析,风险识别,风险评估,风险分析包括考虑风险的原因和来源,以及所带来的正面和负面的后果及这些后果发生的可能性。
现有的控制措施和其效果和效率也宜被考虑在内。
考虑不同风险和其源的相互依赖关系。
依据环境条件,风险分析可以定性的、半定量或定量的,也可以是组合的方式。
后果和其可能性可以通过模拟一个或一系列事件的结果,或由实验研究或可用数据推断确定。
后果可基于有形和无形的影响表述。
信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,定性风险分析:
定性风险采用级别分级属性(如低、中、高)来描述潜在后果的严重性和潜在后果发生的可能性。
定性风险分析的优点是易于所有相关人员的理解,同时其弱点是级别选择对主观判断的依赖。
可以对级别进行修订或调整,以适应环境,并为不同的风险采用不同的描述。
定性风险分析可以用于:
作为最初的筛选活动,以识别需要进一步具体分析的风险当定性分析适合于决策时当量化数据不足以进行定量估算时定性分析应该使用可用的真实的信息和数据。
定量风险分析:
定量风险分析通过不同来源的数据,使用数字化的级别来描述后果和可能性(而不是定性风险分析中所使用的描述性级别)。
分析的质量依赖于量化数字的准确性和完整性,以及所使用模型的有效性。
在很多情况下,定量风险分析使用历史事件数据,优势是其直接与信息安全目标和组织所关心的问题相关。
不足是缺乏新的风险或信息安全弱点的数据。
当无法获得真实和可审计数据时,将显示定量方法的不足,因为这将导致风险评估准确性和价值的假象。
信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,已识别的事件场景,包括:
识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果,输入,用资产和影响准则表示的事件场景评定后果的清单,输出,考虑违背信息安全,丧失资产的(保密性、完整性、可用性)的基础上),评估可能或实际导致的业务的影响,活动,实施指南,识别所有资产并评审后,在评估后果的同时给资产赋值通过以下两种措施来确定资产价值:
资产的替代价值:
恢复清理和替换信息所需的成本,以及资产丧失或损坏的业务后果:
如信息或其他信息资产的泄密、修改、不可用和/或破坏带来的潜在业务负面影响和/或法律后果可以从业务影响分析来确定赋值,风险评估,潜在后果/影响定义示例:
风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,已识别的事件场景,包括:
识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果现有和计划的控制措施清单,以及控制措施有效性、实施和使用状态,输入,事件场景的可能性(定性的或定量的),输出,评估事件场景的可能性,活动,实施指南,识别事件场景后,需要利用定性或定量分析技术对每一场景的可能性和产生的影响进行评估考虑威胁发生经常性和脆弱点被利用的容易度,风险评价,风险分析,风险识别,风险评估,事件发生可能性示例,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,事件场景清单产、对资产或业务过程的后果和可能性,输入,分配有风险级别数值的风险清单,输出,对事件场景确定风险级别,活动,实施指南,对风险的可能性和后果进行赋值(定性或量)估计的风险是某个事件场景的可能性及其后果的组合,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,组合风险矩阵,风险评估,定性风险矩阵,风险评估,定量风险矩阵,风险评价,风险分析,风险识别,风险评估,风险评价的目的是,基于风险分析的结果,帮助做出有关风险需要处理和处理实施优先的决策。
风险评价包括将分析过程中确定的风险程度与在明确环境时建立的风险准则进行比较。
决策宜考虑更为宽泛风险含义,包括考虑风险获益组织外的团体对风险的容忍性。
决策宜依据法律法规和其他要求做出。
在某些情况下,风险评价可导致对决策的进一步分析。
风险评价也可导致,除了保持现存措施,不以任何方式处理风险的决策。
信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,分配有风险级别数值的风险清单风险评价准则,输入,将事件场景导致的风险按风险评价进行优先级排序的风险清单,输出,风险级别与风险评价准则和风险接受准则进行比较,活动,实施指南,用于制定决策的风险评价准则应该与已定义的内外部风险管理环境信息相一致,并考虑组织的目标和利益相关方的观点。
在风险评价活动中采取的决策主要基于风险可接受级别。
同时应该考虑后果、可能性以及风险识别和分析的可信程度。
多个低或中风险的组合,可能导致更高的综合风险,并需要进行相应的处理。
信息安全风险管理,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足?
满足?
风险沟通和磋商,风险监视和评审,风险决策点1评估满足,风险决策点2处置满足,NO,NO,YES,YES,第一次结束或随后重复,信息安全风险管理过程,风险处置,已按风险评价准则进行风险优先级排序的风险清单,输入,风险处置计划残余风险报告,输出,选择风险处置选项制定风险处置计划,过程,实施指南,风险处置选项应基于风险评估的结果和实施这些选项的预计成本及预期收益来选择如果某一选项可以通过相对较低的花费大幅度降低风险,则应该实施该选项管理者应该考虑罕见但严重的风险,在这种情形下,可能需要实施控制措施,而不会严格按经济性进行判断风险处置计划应该清晰定义所列出的单个需要实施的风险处置项的优先级,以及实施的期限,风险处置,风险处
升级会员 