在上一篇《信息安全是基于风险的管理》介绍了风险管理、风险控制以及信息安全风险各要素的定义,今天在介绍信息安全风险评估过程与方法之前,先对信息安全风险做一个定义总结,所谓信息安全风险即是:
一个特定的威胁利用一个或一组信息资产技术或管理中的弱点导致资产(或业务)损失或者破坏的潜在可能性。
通过定义我们可以非常清晰的看到,信息安全风险首先是一种「可能性」,什么的可能性呢?「损失或破坏」的可能性,通俗理解就是可能发生损失或损坏的程度。
信息安全风险是一种可能的程度,这里面包含这两层含义,一层含义是有哪些信息安全风险是可能的,另外一层的含义是这些可能的信息安全风险所带来的可能损失是多大。信息安全风险评估就是解决这两个问题的,来看下信息安全风险评估的定义:
利用既定的方法,对组织的信息资产所面临的信息安全风险,系统地进行分析和评价的整个过程。
通过定义可以看出,信息安全风险评估的对象是信息资产,评估过程包含「分析」和「评价」两个阶段,风险分析是将信息安全风险要素(资产、威胁、弱点等)识别出来,并且对风险进行梳理与计算;风险评价则是将已经计算出来的风险值,与风险等级定义进行对比,得出风险的程度(通常是高、中、低)。
前面把信息安全风险评估的定义和过程介绍完了,下面对信息安全风险评估的方法简单介绍一下。信息安全风险评估从方法上来划分,可以分为定量评估、定性评估、半定量评估三种。
1、定量信息安全风险评估
所谓定量评估是试图从数字上对安全风险进行分析评估的一种方法,采用量化的数值描述影响(估计出可能损失的金额)和可能性(概率或频率),分析的有效性取决于所用的数值精确度和完整性。
定量风险评估结果是建立在独立客观的程序或量化指标之上的,这样做的优点是可以为成本效益审核提供精确依据,有利于预算决策。当然定量风险评估也存在方法复杂、计算量大、投入资源大、费时费力的缺点。在现实信息安全风险评估中,除个别行业的个别场景外,定量风险评估很少被用到。
2、定性信息安全风险评估
所谓定性评估也叫专家评价法,是凭借分析者的经验,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性评估采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小(如高、中、低等)。
定性评估结果高度依赖于评估者的经验和能力,很难客观地跟踪风险管理的效果,并不能为安全措施的成本效益分析提供客观依据,对关键资产财务价值评估参考性较低。但定性评估也因为有着计算方式简单,易于理解和执行的优点,在信息安全风险评估被广泛应用。
3、半定量信息安全风险评估评估
半定量评估则是将定量评估和定性评估进行了一个折中,其优缺点也介于定量评估和定性评估两者之间。半定量评估可以得到比通常在定性评估中所得到的更为详细的风险程度,但并非可以提出得到在定量分析中所得到的风险实际值。
风险评估不仅仅是信息安全工作的基础,在科技风险管理、IT审计中也有着重要的作用,本篇仅对信息安全风险评估的定义、过程和方法做了一个简略的介绍,后面计划连续几篇秀一下风险评估的实操部分。