國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
根據(jù)IS027001的標準,風(fēng)險評估應(yīng)包括兩部分:
一是估計風(fēng)險大小的系統(tǒng)方法,即風(fēng)險分析;
二是將估計的風(fēng)險與給定的風(fēng)險準則加以比較,以確定風(fēng)險嚴重性的過程,即風(fēng)險評價。
下面進行詳細說明。
一、風(fēng)險分析
ISO27001風(fēng)險分析的方法有很多種,包括定性的方法和定量的方法。其最終落腳點大多數(shù)會歸結(jié)到“可能性”與“影響程度”上面,并根據(jù)“可能性”和“影響”的組合確定風(fēng)險程度。
而對于“可能性”與“影響”的評分,可以根據(jù)歷史經(jīng)驗定性地給出,也可以通過進一步細化或者量化的方法更為精確地給出,最常用的方法之一是通過資產(chǎn)、威脅和脆弱性三個屬性進行分析。
1、資產(chǎn)屬性:即資產(chǎn)價值,指對信息資產(chǎn)的綜合評分,來源于企業(yè)的信息資產(chǎn)管理矩陣,可以通過對信息 資產(chǎn)的機密性、完整性、可用性三方面分別進行定量評級后計算得出。
2、威脅屬性:指的是固有存在的威脅,需要考慮威脅產(chǎn)生的頻率和動機等方面。威脅是與資產(chǎn)相對應(yīng)的, 不同類別的信息資產(chǎn)可能面臨不同類別的威脅,某一資產(chǎn)可能同時面臨多個不同的威脅。相對的,一個威脅可能對不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件。不同的威脅有著不同的動機和能力,因此, 可以對威脅進行分析,對其出現(xiàn)的頻率量化和賦值。
3、脆弱性屬性:指資產(chǎn)薄弱點的嚴重程度,也以理解為資產(chǎn)被威脅所利用的可能性。薄弱點可能來自軟件、硬件、也可能來源于人員、環(huán)境及管理等方面。某個威脅可能利用多個薄弱點, 一個薄弱點也可能被多個威脅利用, 弱點一旦被威脅利用就可能產(chǎn)生風(fēng)險, 從而影響到組織的運行或可持續(xù)性發(fā)展。通常從管理和技術(shù)兩個方面,通過人員訪談、現(xiàn)場觀察、文檔流程檢查等方法針對不同的資產(chǎn)進行脆弱性的嚴重程度量化和賦值。
4、通過對資產(chǎn)、威脅和脆弱性的評級,匯總成為“可能性”與“影響”的評分,再進而得到風(fēng)險值的量化 評分。
二、風(fēng)險評價
通過上述ISO27001風(fēng)險分析的過程,我們可以得到企業(yè)的風(fēng)險列表,即源于不同資產(chǎn),不同威脅以及現(xiàn)有 的控制水平基礎(chǔ)上的所有風(fēng)險。ISO27001風(fēng)險的高低可依照得分的高低排序,其中得分為8的為最高風(fēng)險點,為0的為最低風(fēng)險點。
基于此表,風(fēng)險評估要設(shè)定一個可接受的風(fēng)險值,通常來講,此閾值的設(shè)定需要經(jīng)過信息安全管理委員會或 公司管理層的批準。低于或等于這個分值的,意味著風(fēng)險可以接受,也就是可以維持現(xiàn)有的保護措施不變。而高于此分值的風(fēng)險,意味著風(fēng)險過高,企業(yè)需要采取某些控制措施去降低、回避或轉(zhuǎn)移風(fēng)險。同時,對采取控制措 施后的脆弱性進行進一步分析,以確保如果新的控制措施得以有效執(zhí)行,風(fēng)險可以降低到可接受的范圍之內(nèi)。
最后通過舉例來進行說明,假設(shè)某公司部分信息資產(chǎn)相當重要(資產(chǎn)價值評分為4),而因為病毒導(dǎo)致公司信息遭到泄露的威脅也很高(評分為高),再假設(shè)此公司未安裝任何防病毒軟件或防火墻,那么在防病毒方面的脆弱性評級同樣很高(評級為高),從而查表可以得到結(jié)論,此公司的信息資產(chǎn)因為不存在對病毒的防范控制,從而存在很高的風(fēng)險(評級為8),那么一定要對此風(fēng)險進行一定的改進措施,比如安裝殺毒軟件,購買防火墻等。再例如, 同樣的信息資產(chǎn)和威脅前提,但公司裝有殺毒軟件和防火墻,只是防火墻的級別不夠高,殺毒軟件沒有及時升級,綜合評價其脆弱性水平為中,查表可得由此而得的風(fēng)險水平較高(評級為7)。對于此種風(fēng)險就要進行風(fēng)險評價,按照公司的實際情況確定是否需要進行升級等措施使風(fēng)險進一步降低。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信