随着社会信息化和组织机构信息化程度的不断提高,计算机网络和信息系统己经成为社会经济发展和日常生活中不可或缺的工具。信息安全问题所导致的损失也在成倍地增长。风险评估过程能够识别组织机构的信息安全需求,从而为信息安全建设提供必要的依据。因此,只有在风险评估中正确、全面地了解和梳理信息系统的安全风险,才能在信息安全措施的选择、信息安全保障体系的建设、剩余风险的处置和接受等问题中做出合理的决策。
GB/T 22080-2008即《信息技术/安全技术一信息安全管理体系要求》等同于ISO/IEC27001:2005。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求,规范适用所有类型的组织(例如,商业企业、政府机构、非赢利组织)。标准采用PDCA“规划-实施-检查-处置”(PDCA)过程模式来建立ISMS的所有过程,PDCA模型为安全设计和实施、安全管理和再评估方面实施准则提供了强健的模型。
信息安全风险评估分类
信息安全风险评估包括规划和实施两个阶段,风险评估在GB/T 22080-2008的ISMS建设中具有非常重要的地位。风险评估方法的引导作用:在建立ISMS过程中,需要按照业务需求来确定风险评估方法,正确的风险评估方法能更准确的识别风险,对制订安全策略和实施安全措施起到指导作用,是ISMS成功实施的关键。风险评估的方法有很多种,概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。为了使评估结果既全面深刻又客观严谨,在信息安全体系建立过程的信息风险评估中一般采用半定量评估方法。
信息安全风险评估的过程说明:在资产识别阶段,划入风险评估范围和边界的每项资产都被识别和评价,并清楚识别每项资产的拥有者、保管者和使用者。以业务活动为主线,所有为业务活动开展提供支持的设备、资源为其分支来对所有资产进行赋值。定性分析时,关注资产对组织的重要性或其敏感程度,并同时考虑保密性、完整性和可用性三方面受损可能引发的后果。
在威胁识别阶段,关键在于确认引发威胁的人或物,即威胁源。威胁通常包括人员威胁、系统威胁、环境威胁、自然威胁。对威胁的评估,主要考虑其发生的可能性。评估威胁可能性时主要考虑威胁源的动机和能力等因素。
在脆弱性识别阶段,针对每一项需要保护的资产,找到其现实存在的弱点,包括技术性弱点、操作性弱点和管理性弱点。
在风险计算阶段,要确定风险的等级,有三个关键因素要考虑(定性风险评估):威胁对信息资产造成的影响(后果),也就是资产的价值体现;威胁发生的可能性;弱点的严重性,也就是一旦威胁发生,对资产造成的冲击。
风险定级分四类:1,2,3,4分为低风险;6,8,9分为中风险;12,18分为高风险;27分是超高风险。最终通过风险评估矩阵或者直接的简单运算得出风险水平。
信息安全风险评估过程示例
风险场景:一个个人经济上存在问题的公司职员有权独立访问某类高敏感度的信息,他可能窃取这些信息并卖给公司的竞争对手。
评估风险:套用风险分析矩阵,该风险被定为高风险(18)
应对风险:采取适当的安全措施并评估残余风险,判断是否接受残余风险。
按以上示例评估所有风险因素,识别出风险后与标准比对进行差距分析,我们从以下几个角度进行了差距分析:管理上,从标准条款要求和安全控制域角度进行了分析;技术上,从网络架构、主机安全、终端安全进行了评估。
最后可以得到风险评估后差距分析的最终结果,计算出总评分后,针对以上差距分析中的发现点,再提出改进建议,制定切实的风险处置计划,实施风险管理。
通过使用GB/T 22080-2008理论体系结合信息风险评估方法,以定性风险分析和定量分析相结合,评估过程和结果可通过分值的方式进行呈现,便于对资产价值、弱点、威胁进行定位和处置,满足组织机构对风险评估的持续关注和改进要求,将是一套行之有效的信息安全风险评估方法。