根據(jù)IS027001的標(biāo)準(zhǔn),風(fēng)險(xiǎn)評(píng)估應(yīng)包括兩部分:
一是估計(jì)風(fēng)險(xiǎn)大小的系統(tǒng)方法,即風(fēng)險(xiǎn)分析;
二是將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較,以確定風(fēng)險(xiǎn)嚴(yán)重性的過程,即風(fēng)險(xiǎn)評(píng)價(jià)。
下面進(jìn)行詳細(xì)說明。
ISO27001信息安全風(fēng)險(xiǎn)分析與評(píng)估方法——風(fēng)險(xiǎn)分析
ISO27001風(fēng)險(xiǎn)分析的方法有很多種,包括定性的方法和定量的方法。其最終落腳點(diǎn)大多數(shù)會(huì)歸結(jié)到“可能性”與“影響程度”上面,并根據(jù)“可能性”和“影響”的組合確定風(fēng)險(xiǎn)程度。
而對(duì)于“可能性”與“影響”的評(píng)分,可以根據(jù)歷史經(jīng)驗(yàn)定性地給出,也可以通過進(jìn)一步細(xì)化或者量化的方法更為精確地給出,最常用的方法之一是通過資產(chǎn)、威脅和脆弱性三個(gè)屬性進(jìn)行分析。
1、資產(chǎn)屬性:即資產(chǎn)價(jià)值,指對(duì)信息資產(chǎn)的綜合評(píng)分,來源于企業(yè)的信息資產(chǎn)管理矩陣,可以通過對(duì)信息資產(chǎn)的機(jī)密性、完整性、可用性三方面分別進(jìn)行定量評(píng)級(jí)后計(jì)算得出。
2、威脅屬性:指的是固有存在的威脅,需要考慮威脅產(chǎn)生的頻率和動(dòng)機(jī)等方面。威脅是與資產(chǎn)相對(duì)應(yīng)的,不同類別的信息資產(chǎn)可能面臨不同類別的威脅,某一資產(chǎn)可能同時(shí)面臨多個(gè)不同的威脅。相對(duì)的,一個(gè)威脅可能對(duì)不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件。不同的威脅有著不同的動(dòng)機(jī)和能力,因此,可以對(duì)威脅進(jìn)行分析,對(duì)其出現(xiàn)的頻率量化和賦值。
3、脆弱性屬性:指資產(chǎn)薄弱點(diǎn)的嚴(yán)重程度,也以理解為資產(chǎn)被威脅所利用的可能性。薄弱點(diǎn)可能來自軟件、硬件、也可能來源于人員、環(huán)境及管理等方面。某個(gè)威脅可能利用多個(gè)薄弱點(diǎn), 一個(gè)薄弱點(diǎn)也可能被多個(gè)威脅利用, 弱點(diǎn)一旦被威脅利用就可能產(chǎn)生風(fēng)險(xiǎn), 從而影響到組織的運(yùn)行或可持續(xù)性發(fā)展。通常從管理和技術(shù)兩個(gè)方面,通過人員訪談、現(xiàn)場(chǎng)觀察、文檔流程檢查等方法針對(duì)不同的資產(chǎn)進(jìn)行脆弱性的嚴(yán)重程度量化和賦值。
4、通過對(duì)資產(chǎn)、威脅和脆弱性的評(píng)級(jí),匯總成為“可能性”與“影響”的評(píng)分,再進(jìn)而得到風(fēng)險(xiǎn)值的量化評(píng)分。
ISO27001信息安全風(fēng)險(xiǎn)分析與評(píng)估方法——風(fēng)險(xiǎn)評(píng)價(jià)
通過上述ISO27001風(fēng)險(xiǎn)分析的過程,我們可以得到企業(yè)的風(fēng)險(xiǎn)列表,即源于不同資產(chǎn),不同威脅以及現(xiàn)有的控制水平基礎(chǔ)上的所有風(fēng)險(xiǎn)。ISO27001風(fēng)險(xiǎn)的高低可依照得分的高低排序,其中得分為8的為最高風(fēng)險(xiǎn)點(diǎn),為0的為最低風(fēng)險(xiǎn)點(diǎn)。
基于此表,風(fēng)險(xiǎn)評(píng)估要設(shè)定一個(gè)可接受的風(fēng)險(xiǎn)值,通常來講,此閾值的設(shè)定需要經(jīng)過信息安全管理委員會(huì)或公司管理層的批準(zhǔn)。低于或等于這個(gè)分值的,意味著風(fēng)險(xiǎn)可以接受,也就是可以維持現(xiàn)有的保護(hù)措施不變。而高于此分值的風(fēng)險(xiǎn),意味著風(fēng)險(xiǎn)過高,企業(yè)需要采取某些控制措施去降低、回避或轉(zhuǎn)移風(fēng)險(xiǎn)。同時(shí),對(duì)采取控制措施后的脆弱性進(jìn)行進(jìn)一步分析,以確保如果新的控制措施得以有效執(zhí)行,風(fēng)險(xiǎn)可以降低到可接受的范圍之內(nèi)。
最后通過舉例來進(jìn)行說明,假設(shè)某公司部分信息資產(chǎn)相當(dāng)重要(資產(chǎn)價(jià)值評(píng)分為4),而因?yàn)椴《緦?dǎo)致公司信息遭到泄露的威脅也很高(評(píng)分為高),再假設(shè)此公司未安裝任何防病毒軟件或防火墻,那么在防病毒方面的脆弱性評(píng)級(jí)同樣很高(評(píng)級(jí)為高),從而查表可以得到結(jié)論,此公司的信息資產(chǎn)因?yàn)椴淮嬖趯?duì)病毒的防范控制,從而存在很高的風(fēng)險(xiǎn)(評(píng)級(jí)為8),那么一定要對(duì)此風(fēng)險(xiǎn)進(jìn)行一定的改進(jìn)措施,比如安裝殺毒軟件,購買防火墻等。再例如,同樣的信息資產(chǎn)和威脅前提,但公司裝有殺毒軟件和防火墻,只是防火墻的級(jí)別不夠高,殺毒軟件沒有及時(shí)升級(jí),綜合評(píng)價(jià)其脆弱性水平為中,查表可得由此而得的風(fēng)險(xiǎn)水平較高(評(píng)級(jí)為7)。對(duì)于此種風(fēng)險(xiǎn)就要進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià),按照公司的實(shí)際情況確定是否需要進(jìn)行升級(jí)等措施使風(fēng)險(xiǎn)進(jìn)一步降低。
