第一章、概述
一、什么是信息安全风险?
威胁利用脆弱性对风险管理对象造成的不确定性影响。
二、什么是风险管理?
对风险的定义、测量、评估和应对风险的策略。
目的是将能够规避的风险、成本以及损失最小化。
信息安全风险管理是一个持续的管理过程,包括:建立风险评估框架、实施风险评估、利用风险处置计划实施风险建议和决策并处置风险,最后通过评审持续改进。
三、风险管理到底管什么?
以业务为中心,管理
数据:视频、声音、图形,继而具体到数据的具体存储格式
载体:承载信息的媒介,有形载体、无形载体
环境和边界:环境(数据和承载数据的载体所依赖的软硬件资源,进而扩展到软硬件资源所依赖的具体环境)
4、风险管理的环节:
1、确定风险管理框架
2、风险识别
3、风险分析
4、风险处理(回避、降低、转移、接受)
5、风险管理评审
四、 风险管理的模型常用模型:
- PDR(保护、检测、响应)
- P2DR(安全策略、保护、检测、响应)
- PDRR(保护、检测、响应、恢复)
- MPDRR(管理、保护、检测、响应、恢复)
- WPDRRC(预警、保护、检测、响应、恢复、反击) Counterattack(反击)
- 风险管理的对象本质对象:业务实体对象:数据、载体、环境与边界
- 风险管理的环节:确定管理框架、风险识别、风险分析、风险评价、风险处置、风险管理评审
第二章、信息安全风险管理相关标准
- ISO/IEC31000
- ISO/IEC 13335
- ISO/IEC 27005
- 卡内基梅隆
- GB/T 20984
第三章、信息安全风险评估的实现
-
风险评估的原则:
1)、标准性原则
2)、关键业务原则
3)、可控性原则
4)、最小影响原则
5)、可恢复性原则
6)、保密性原则 -
风险评估过程:风险识别、风险分析、风险评价
- 风险识别:资产识别、威胁识别、脆弱性识别、确认已有安全措施
- 风险分析:风险是否需要被处理以及最适当的处理策略和方法,包括风险值的计算和已有安全措施的确认
- 风险评价:将风险分析的结果与预先设定的风险准则相比较,确认风险,制定和实施风险处理计划并评估残余风险,以及是否接受残余风险。
第四章、信息安全风险处置
-
风险处理过程框架
(1)、明确风险处置的目标
(2)、制定风险处理计划并定义各处理计划的优先级
(3)、确定风险安全处置的依据和办法
(4)、编制风险处置方案
(5)、实施风险处理方案并检测结果 -
风险处理方法
(1)、风险规避(避免目标遭受风险的影响)
(2)、风险转移
(3)、风险降低
(4)、风险接受
风险评估工具:
- 风险评估与管理工具
- 系统基础平台风险评估工具
- 风险评估辅助工具
风险评估与管理工具:
(1)、基于信息安全标准的
(2)、基于知识的
(3)、基于模型的