本章需掌握知识点:
- 风险管理概述
- 了解信息安全风险、风险管理的概念;
- 理解信息安全风险管理的作用和价值;
- 常见风险管理模型
- 了解COSO报告、ISO31000、COBIT等风险管理模型的作用;
- 安全管理基本过程
- 理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询六个方面的工作目标及内容;
一、风险管理基本概念
- 风险是事态的概率及其结果的组合
- 风险是客观存在的
- 风险管理是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化。
- 风险的识别、评估、优化
- 风险管理的价值
- 安全措施的成本与资产价值之间的平衡
基于风险的思想是所有信息系统安全保障工作的核心思想(信息安全管理的核心是风险管理)
二、常见风险管理模型
内部控制整合框架(COSO报告)
- 三个目标:财务报告可靠性、经验效率和效果、合规性
- 五个管理要素:内制环境、风险评估、控制活动、信息与沟通、监控
- ISO31000
- 为所有与风险管理相关的操作提供最佳实践结构和指导
- COBIT
- 为信息系统和技术的治理及控制过程提供最佳实践结构和指导
- 组件:框架、流程描述、控制目标、管理指南、成熟度模型
三、信息安全风险管理基本过程
GB/Z 24364《信息安全风险管理指南》
这张图背下来:
如果看不懂,请看此处:
- 首先建立风险处理的背景,然后才能进行风险评估,评估出来的风险需要处理,处理之后我们需要持续去监督有没有持续的去进行风险的处理或者说预防;
- 有了监督的需求之后,就有checklist去批准监督
- 在监控审查一定时间后,还是可以通过定期审查的结果去建立新一次的风险评估过程
四、信息安全风险管理基本过程六阶段
- 背景建立(必考):背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
- 过程分为:
- 风险管理准备:确定对象、组建团队、制定计划、获得支持
- 信息系统调查:信息系统的业务目标,技术和管理上的特点
- 信息系统分析:信息系统的体系结构、关键要素
- 信息安全分析:分析安全要求、分析安全环境
- 过程分为:
- 风险评估
- 信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
- 风险评估准备:制定风险评估方案、选择评估方法
- 风险要素识别:发现系统存在的威胁、脆弱性、控制措施
- 风险分析:判断风险发生的可能性和影响的程度
- 风险结果判定:综合分析结果判定风险等级
- 信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
- 风险处理:
- 风险处理是为了将风险始终控制在可接受的范围内。
- 现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以
- 处理目标确认:不可接受的风险需要控制到什么程度
- 处理措施选择:选择风险处理方式,确定风险控制措施
- 风险处理是为了将风险始终控制在可接受的范围内。
风险处理方式:风险接受、风险规避、风险转移、风险削弱
4. **处理措施实施:制定具体安全方案,部署控制措施**
- 批准监督
- 批准:是指机构的决策层依据风险评估和风险处理的结果,是否满足信息系统的安全要求,做出是否认可风险管理活动的决定
- 监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险
- 监控审查
- 监控与审查可以及时发现已经出现或即将出现的变化、偏差、延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性
- 类似信息系统工程中的监理
- 沟通咨询
- 通过畅通的交流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通咨询的意义所在。
| 沟通咨询 |
| —- |
|
- 与领导沟通,以得到理解和批准
- 单位内部各有关部门相互沟通,以得到理解和协作
- 与支持单位和系统用户沟通,以得到了解和支持
| |
- 为所有层面的相关人员提供咨询和培训等,以提高人员的安全意识,知识、技能
|
- 通过畅通的交流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通咨询的意义所在。
| 沟通咨询 |
| —- |
|
若有收获,就点个赞吧
0 人点赞
