信息安全管理体系之风险评估 ZT

牛哥发表于 2004-9-27 09:10:01

风险评估是信息安全管理体系（ISMS）建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。

　　BS 7799并没有准确定义风险评估的方法，组织可以根据自身的情况，开发适合自己的风险评估方法。即便如此，靠一个临时小组的头脑风暴提出组织信息安全风险的做法也是不合适的。因为标准要求组织选择系统性的风险评估方法，从威胁、薄弱点、影响、可能性四个各方面来识别风险、评估风险，这和目前信息安全管理领域普遍采用的信息安全风险评估惯例的思想是一致。

　　在开发自己的风险评估方案时，国际信息安全风险评估最佳指南包括：

　　ISO Guide 73:2002——风险管理术语

　　ISO/IEC TR 13335—IT安全管理指南

　　BSI PD3002—BS 7799风险评估和风险管理指南

　　SAA/SNZ HB 231—信息安全风险管理指南

　　OCTAVE—关键威胁、资产和弱点实用评估方法。

　　风险评估的理论基础
　　在风险评估之前，必须在信息安全风险管理的上下文前提下，准确定义什么是风险，风险的主要元素及其相互关系。

　　资产：对组织有价值的任何东西。这个概念对组织的挑战是用尽量少的冗余，尽可能全面地识别组织的重要信息资产。

　　风险：威胁利用薄弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。组织需要从资产的威胁、薄弱点和影响三个方面来进行风险的识别。

　　威胁：对组织或系统产生危害的有害事件的潜在原因。

　　薄弱点：是一个资产或资产组能够被威胁利用的弱点。

　　影响：有害事件产生的后果。

　　风险评估：识别信息安全风险并确认其大小的过程。

　　◆ 资产是具有价值的；

　　◆ 薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成潜在影响；

　　◆ 威胁、薄弱点或资产价值的增加都可能导致安全风险的增加；

　　◆ 组织的信息安全要求源于安全风险的客观存在；

　　◆ 组织通过安全控制降低安全风险，满足安全要求。

　　风险(R)是以资产(A)、威胁(T)、薄弱点(V)、影响(I)和已有安全控制(C)为自变量的一个函数。即：

　　R=F(A，T，V，I，C) .....公式1

　　在实践过程中，一般通过

　　R=F(P，I) ............公式2

　　来测量风险，其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性，I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估，而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素，所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。

　　风险评估过程 
　　我们采用BS 7799-2:2002所提倡的PDCA过程方法来策划和实施风险评估(PDCA过程方法详细信息见我刊43期《PDCA过程模式在信息安全管理体系的应用》一文)。

　　P—策划阶段

　　这个阶段的主要任务是定义风险评估的范围，确定风险评估基调(或方针)，并策划风险评估所需要的文档。

　　1、定义信息安全风险评估范围

　　如果组织要建立信息安全管理体系，可能在风险评估之前已经有一个确切的体系范围文档，只要保证评估范围涵盖体系范围即可。如果没有确切的体系范围文档，可以参照《PDCA过程模式在信息安全管理体系的应用》中建立信息安全管理体系的讨论，来建立风险评估范围文档。

　　2、定义信息安全方针

　　信息安全方针为信息安全管理提供目标和指标框架，是信息安全活动的方向和原则，也是风险评估过程中确定不可接受风险的重要依据。在风险评估之前建立完善的信息安全方针文档是不可能的，在此只要求建立关键方针，能够为后续活动提供框架即可，风险评估过程完成之后，其他详细的方针内容可以在风险评估之后补充。方针应该反映组织的使命、战略、目标、业务性质和安全要求。安全要求包括法律法规的要求、组织的主要风险类别和已有的信息安全方针。

　　3、开发风险评估的系统性方法和风险评估准则

　　风险评估可以采用定性、定量或者半定量的方法，评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。

　　风险评估准则的合理性对评估结果很重要，它决定着后续的处理范围，应该确保由此产生的风险与组织的实际情况相符，能够体现风险对组织使命和战略的影响。

　　实践证明，风险评估准则描述的概括性和无歧义性对评估的进度和结果的可信性影响很大，所谓“磨刀不误砍柴工”，在确定准则之前对组织的方针、目标、指标、客户期望和法律要求等做一番调查，以此确定合理的准则，能够做到事半功倍。

　　组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。

　　评估文件至少还应该规范下列评估细节：

　　a、信息安全管理体系内资产的估价，包括所用的价值尺度信息；

　　b、威胁及薄弱点的识别；

　　c、可能利用薄弱点威胁的评估，以及此类事故可能造成的影响；

　　d、以风险评估结果为基础的风险计算，以及剩余风险的识别。

　　实践证明，组织准备资产分类列表、威胁列表、薄弱点列表和潜在影响列表，可以确保评估的最低覆盖面，很大提高评估的进度。组织应该鼓励评估人员积极发现列表之外的风险元素，并对其进行评估。

　　4、确定风险评估活动的职责和时间表

　　有了方针和方法，要保证评估活动如期进行，应该策划风险识别和评估工作的人员职责、协调机制和进度安排，确保不遗漏重要风险，如期完成评估工作。评估可以按照资产类型、组织结构或业务过程、物理场所、项目等展开，这需要根据组织和业务的具体情况，灵活确定。

　　风险评估活动的进度安排一般应该获得最高管理者的批准，反映其优先权，以支持后续的活动，否则评估人员，尤其是阶段参与评估的人员很容易以手头工作忙推托评估责任，导致评估进度延期。

　　D—实施阶段

　　1、对相关人员进行评估培训

　　对组织采用的系统性风险评估方法进行培训，保证相关人员知晓评估范围，正确理解风险评估相关概念及其相互关系，正确理解评估准则。培训最好根据组织实际情况开发相关案例，使评估人员迅速理解评估思路，合理使用评估准则，正确判断风险。

　　2、风险识别

　　评估人员应该识别评估信息安全管理体系范围内的资产、对资产的威胁、可能被威胁利用的薄弱点，以及评估保密性、完整性和可用性丢失对资产的潜在影响。如果策划阶段产生了资产分类列表、威胁列表、薄弱点列表和潜在影响列表，参照选择上述列表可以省去很多时间，并能够保证识别质量。评估人员如果发现新的资产类别或者新的威胁、薄弱点，应该鼓励其进行识别和评估，并通过协调机制将列表之外的评估要素及时和其他评估人员沟通，如有必要，将其添加到列表内。

　　3、利用策划阶段定义的系统性方法评估风险

　　根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败可能引起的业务损害；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类风险发生的现实可能性，并利用既定的风险评估准则为风险要素赋值，计算风险等级。

　　确认上一次风险评估的不可接受风险得到正确处理，剩余风险是组织管理可以接受的。

　　4、确定风险可接受性，形成风险评估报告

　　风险评估报告是BS 7799-2:2002明确要求组织准备的一个文件，是风险评估的结论性报告，应该表述组织信息资产所面临的威胁、这些威胁能够利用的薄弱点以及由此而产生的风险的大小优先等级。

　　C—检查阶段

　　这个阶段的任务就是检查评估的合理性、充分性，寻找改进的机会。主要任务包括：

　　1、发现未识别或新增加的风险

　　组织可能存在策划和实施过程中都没得到识别的风险，可能由于信息安全意识的提高或者安全事件的提醒，得到管理层或评估人员的识别。另外组织可能因为组织结构、物理环境、信息系统、业务拓展等变化引入新的安全风险，需要及时识别。

　　2、审核评估过程，确保评估文件和准则得到执行

　　作为对风险评估过程的监督机制，组织应该安排审核，确保风险评估文件和评估准则得到贯彻执行。审核应该坚持独立性。

　　3、评审评估文件和评估准则的充分性和适宜性

　　随着时间的推移，评估文件和评估准则的充分性、效果、效率等都可能打折扣，组织应该根据需要识别这种变化，及时调整文件或准则，保证风险评估过程的高效和结果的充分。可能的变化包括：

　　◆ 信息安全评估范围（包括位置、技术、系统、组织结构等）发生变化；

　　◆ 组织的信息安全方针发生变化；

　　◆ 合同方或适用的法律法规的信息安全要求发生很大变化；

　　◆ 组织发生重大信息安全事故或引起注意的未曾识别的信息安全事件；

　　A—措施阶段

　　针对检查阶段发现的不符合或者其他改进机会，采取纠正和预防措施，保持风险评估过程的持续适应性。这个阶段组织可能进行以下操作：

　　1、持续寻求改进机会；

　　2、采取适当的纠正和预防措施；

　　3、必要时修订风险评估文件和评估准则；

　　4、与相关方沟通风险评估的新更改和新风险；

　　5、总结经验，策划下一轮的评估工作。

　　组织通过这样一个能够持续改进评估效果和效率的PDCA循环，保证了风险评估过程和结果的持续适宜性。

　　
[此贴子已经被作者于2004-9-27 9:11:31编辑过]

懒懒倦倦 发表于 2004-9-27 11:13:53

能贴一下BS7799的标准吗？谢谢。

wuyingshou 发表于 2004-9-28 10:11:37

7799是卖钱的，而且很贵啊！以前我们公司想搞，后来听说全部认证下来要将近100W的预算，立马就傻了大陆通过此认证的企业不多，据我所知都是些实力强劲的公司．

牛哥发表于 2004-9-29 11:38:18

2楼的,不好意思,由于我手里没有电子文档,只有英文版硬COPY的.而且BS7799是BSI版权的.就像QS9000标准一样.看有时间时我会翻译一下,真的好多,在这里简单先说一下吧,BS7799关键的部分就是风险控制.认证标准是BS7799-2:2002.BS7799-2:2002与1999版已很不同,由侧重信息安全技术变为侧重信息安全管理.2002版与ISO9000在标准的编写上很相近了.但在实施中在技术方面要按标准的附录A要求进行.
3楼的朋友,如果贵公司现在还想做的话,可以找我,我现在所在的公司今年通过的,是深圳第一家,我是主导者.如果找专业的顾问公司做,顾问费很高,而且有实战经验的顾问公司很能少.全下来费用用不了100W,具体的可以再谈.在这里不便讲太多.
目前据我所知,国内想通过BS7799认证的公司数量增的很快.我现在正在谈一个单.做软件的公司,
[此贴子已经被作者于2004-9-29 12:00:43编辑过]

牛哥发表于 2004-9-29 11:56:33

<TABLE cellSpacing=0 cellPadding=0 width="100%" align=center>

<TR>
<TD vAlign=top width="100%">
再贴一个,可能对大家进一步理解BS7799有点帮助.以补充上一个贴子的不足.

信息安全管理标准BS7799-2:2002介绍及风险评估(整理版)</TD></TR>
<TR>
<TD>
摘要：介绍了信息安全管理体系标准的发展及2002年9月5日英国标准委员会BSI正式发布的信息安全管理标准BS7799-2:2002，着重介绍了标准改版的原因及其与其他管理标准的相容性。对于建立信息安全管理体系的重点部分--风险评估，也作了简要地介绍。


一、BS7799信息安全管理体系标准的发展


　　随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准BS7799已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2:1999被废止。现在，BS7799标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对BS7799标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。目前全球共有800家各类组织通过了BS7799信息安全管理体系认证,其中去年和今年通过认证的企业数量猛增.
二、BS7799-2:2002简介
2002年9月5日，BSI发布了最新版的BS7799-2：2002标准, 新版的标准结构如下：
0 引言
1范围
2 引用标准
3 术语及定义
4 信息安全管理体系
5 管理职责
6 资源管理
7 ISMS评审
8 改进
可以看出BS7799-2:2002标准结构上的修订，更加贴近ISO9001:2000，更好的采用了过程的方法，利用PDCA的循环不断改进信息安全管理体系，这也是BS7799-2:2002与BS7799-2:1999的一个重要的差别。
以下是标准改版的动因:
修订BS7799第二部分标准，主要是为了：


<UL type=disc>
<LI class=MsoNormal style="MARGIN: 0cm 0cm 0pt; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto; mso-list: l0 level1 lfo1; tab-stops: list 36.0pt">与其它管理体系标准协调一致，例如ISO9000和ISO14001；
<LI class=MsoNormal style="MARGIN: 0cm 0cm 0pt; mso-margin-top-alt: auto; mso-margin-bottom-alt: auto; mso-list: l0 level1 lfo1; tab-stops: list 36.0pt">引入并应用PDCA（计划、实施、检查、措施）过程模式，以建立、实施组织的信息安全管理体系，并持续改进其有效性。 </LI></UL>
BS7799-2:2002信息安全管理体系规范作为体系认证的唯一参考标准，其修订版中有下列几个突出的部分：
1、标准第4节到第7 节规定了基于PDCA过程模式的信息安全管理体系。这是对包含在1999版第3节中的"过程"的扩充。第4节中的控制目标和控制方式在标准附录A中表述。
2、附录A包含的控制目标与控制方式来自ISO/IEC17799：2000。附录A是建立体系的主要技术指导准则.
3、标准附录B中提供了修订版的解释和使用指南。
4、标准附录C中列出了BS7799-2:2002、ISO9001:2000和ISO14001:1996个章节之间的对应关系。
5、修订过程中，将适用性声明（SoA）的定义从主要内容中删除，在附录B（参考附录B1.4）中增加了适用性声明的概念，以及对控制概要的理解。另外，为了与其它管理体系标准保持一致，内容中还增加了"范围"的界定，关于标准要求的排除，以及与标准符合的声明。
BDD第3小组与BS7799国际用户组织（IUG）为了包括国际方面的要求特制订了本修订版。此次指定是以来自不同国家的专家和组织的文献为基础，并由来自不同国家的专家和组织评审和讨论这些文献。
三、信息安全管理体系建立的重要环节--风险评估


　　组织实施BS7799的目的应该是按照先进的信息安全管理标准建立完整的信息安全管理体系（ISMS）并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。
BS7799-2:2002标准条款4.2.1策划过程要求组织建立信息安全管理体系应该（Shall）定义风险评估的系统性方法、识别风险、进行风险评估、识别并评价风险处理的方法、为风险的处理选择控制目标与控制方式。作为体系的策划过程，风险评估方法的科学性、系统性以及其评估结果的质量很大程度上决定了ISMS的成功建立，及它对组织的价值。


1 风险评估的基本概念


与风险评估有关的概念威胁(Threat)：是指可能对资产或组织造成损害的事故的潜在原因。
薄弱点(Vulnerability)：是指资产或资产组中能被威胁利用的弱点。
风险(Risk)：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。
风险评估 (Risk assessment)：对信息和信息处理设施的威胁(threat)、影响(impact)和薄弱点(vulnerability)及三者发生的可能性的评估。
与风险管理有关的概念
风险管理 (Risk management)：以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。安全控制（Security control）：降低安全风险的惯例，程序或机制。
剩余风险(Residual risk )：实施安全控制后，剩余的安全风险。


2风险评估基本步骤


风险评估可以明确安全需求及确定切实可行的控制措施,全面系统的风险评估是实施有效的风险管理的基础,风险评估应考虑的因素包括:
* 信息资产及其价值；
* 对这些资产的威胁，以及它们发生的可能性；
* 薄弱点；
* 在适当的地方由控制所提供的保护；


风险评估的基本步骤为：* 按照组织商务运作流程进行资产识别，并根据估价原则对资产进行估价；
* 根据资产所处的环境进行威胁识别与评价；
* 对应每一威胁，对资产或组织存在的薄弱点进行识别与评价；
* 对已采取的安全控制进行确认；
* 建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。


3风险评估与管理方法


　　在风险评估和风险管理方法被应用的过程中，评估时间、力度、以及具体开展的深度应与组织的环境和安全要求相称。例如，如果组织和它的资产大多数只需要一个低等到中等的安全要求，基本的风险评估方法就足够了。如果安全要求更高，要求更具体的和专业的处理，那么就必须用一个具体的风险评估方法。


3.1基本的风险评估
基本的风险评估是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其商业环境的所有要求。这种方法适用于商业运作不是非常复杂的组织，并且组织对信息处理和网络的依赖程度不高。
这个方法包括对组织所考虑的信息和财产安全要求的一个系统的评估，识别那些令人满意的控制目标和满足这些目标的一系列控制的选择。

基本风险评估方法有许多优点，例如：
* 风险评估所需资源最少，简便易实施。
* 同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果一个组织的多个信息安全管理体系在相同的环境里运作，并且商业要求类似，这些控制可以提供一个花费有效的解决方案。
这个方法的缺点：
* 如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来讲，可能不会得到充分的安全；
* 管理安全相关的改变可能有困难。例如，如果一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定困难。


3.2具体的风险评估
这个方法包括资产的具体识别和估价，以及那些对资产的威胁和相关弱点水平的评估，上述结果被用于评估风险并随后被用于安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平，来证明管理者所采用的安全控制是适当的。
具体的风险评估可能是非常耗费财力的彻底的过程，因此需要非常细致地制定被评估的信息系统范围内的商务环境、运作、信息和资产的边界。它也是一个需要管理者持续关注的方法。
这一方法是将安全风险作为资产、威胁及薄弱点的函数来进行识别与评估。根据被评估的风险，能够从有关安全管理标准中选择安全控制。整个方法不同于上面的基本风险评估方法, 因为需要对资产、威胁和薄弱点进行更为具体的分析，且包括使用：对资产（说明它们的价值，商业重要性）、威胁（说明它们的严重性）和薄弱点（说明有关它们的弱点和敏感性的程度或测量）进行测量与赋值；使用风险评估定义的风险测量方法完成风险测量。
</TD></TR></TABLE>
[此贴子已经被作者于2004-9-29 12:00:57编辑过]

fyj990 发表于 2008-12-15 10:25:24

答复楼主以及各位爱好信息安全的家人：BS7799现在已经是非主流了，目前比较新的关于BS7799的标准，已经升级为：ISO 27001:2005 标准现在关于信息安全风险管理可参照的东西是比较多的：除了ISO 27001:2005 标准，国内还流行一个CC的东西，ISO 13335 标准，也是不错的我最近学习的是：Cobit 标准以及 COSO 标准大家可以自己通过<a href="http://www.G.cn">www.G.cn</a>去下载 ISO 27001:2005 标准的中英文电子版本。BS 7799 标准，网上还是很多的。如果实在找不到，我这里提供一个网址：<a href="http://www.infosecurity.org.cn/forum/read.php?fid=18&tid=29&fpage=1">http://www.infosecurity.org.cn/forum/read.php?fid=18&tid=29&fpage=1</a>
<a href="http://www.pinggu.org/bbs/b59i176262.html">http://www.pinggu.org/bbs/b59i176262.html</a>上述链接的有效性，我没有测试过。还请各位谅解。但是通过<a href="http://www.G.cn">www.G.cn</a>去搜索 BS 7799 ，找到BS 7799 标准，还是比较容易的。谢谢大家。

页: [1]

栖息谷-管理人的网上家园's Archiver

信息安全管理体系之风险评估 ZT