ISO27001信息安全風險的管理是關于實現和維護信息系統機密性、完整性和可用性的與安全相關的所有方面,理想的安全風險標準應該是一個集成的、一致的、可分析的、切合實際的、成本效益平衡的方法。從信息安全風險管理分類的介紹可以看出,信息安全風險除安全技術風險外,還涉及安全政策、標準、意識、戰略等方面。比如ISO27001和 NISTSP800-26安全自評估指南(Security Self Assessment Guide),則注重安全管理方面多于安全產品和系統,是可以經過調整適合組織需要,進行自我評估的良好標準,已在各種類型組織、公共和私人部門,以及工商業得到廣泛的應用。但由于上述標準涉及的安全方面都缺乏定量的安全測度方法,因此不同評估人員,則會由于主觀的原因,給出不同的風險等級,使結果缺乏可信度,不能直接拿來使用。
ISO27001信息安全風險分類不僅要考慮風險發生的可能性和由此而引起的可能后果,而且要在單一風險基礎上,同時考慮各項風險之間的相互關系,對綜合安全風險進行分析和評估。論文從信息安全科學的角度,在對上述安全風險管理標準的比較基礎上,綜合環境、人員、管理、技術、法律、經濟等系統風險問題,把信息安全風險分為:人員風險、組織風險、物理環境風險、信息機密性/完整性風險、系統風險、通信操作風險、基礎設施風險、業務連續性風險、第三方風險、風險評估風險、法律風險和風險決策風險共十二個方面。
1)人員風險
由于組織缺乏人員安全管理、明確的職責和意識教育,內部無意或惡意人員的失誤或攻擊,以及來自外部惡意或好奇人員或組織的攻擊,會使組織業務面臨大的風險。
2)組織風險
如果組織在信息安全組織管理方面基礎薄弱、職責不清、技術服務能力差等原因,使組織在信息安全管理方面處于失控狀態,加大了信息安全風險。
3)物理環境風險
由于缺乏對組織場所的安全保衛,或是防水、防火、防雷等保護措施,在面臨偷盜、自然災難時,有時會造成極大的損失。
4)信息機密性/完整性風險
信息是組織信息技術系統裝載的業務數據,是一種非常重要價值的資產,甚至一些觀點認為信息是組織的血液,是“一種在資產負債表之外,經過逐漸積累的,可以被用來提升組織競爭優勢的信息”。同實物資產相比,信息非常分散并且易于復制,是組織業務流程的重要輸入和輸出數據,比如客戶資料、產品設計等,如果得不到正確的識別、評估、保存和管理,就面臨可能被竊取、損毀、丟失的風險,不但使依賴于這些關鍵信息的核心業務造成嚴重損壞,還會對組織的信譽、聲望造成巨大損失,甚至會摧毀整個組織。
信息風險管理,主要是保證信息的機密性、完整性和可用性。
5)系統風險
通常所用的計算機操作系統,以及大量應用軟件在組織業務交流中的使用,尤其是定制應用產品,來自這些系統和應用軟件的問題和缺陷會對一系列系統造成影響,尤其是多個應用系統互聯時,影響會涉及整個組織的多個系統。比如有的系統維護困難、結構不完善、缺乏文檔、設計漏洞等多種問題,有時會在系統升級和安裝補丁時引入較高的風險。
系統風險要求機構對系統應用具備協同、維護、測試、版本管理、配置管理、系統管理、監控等方面具備管理能力。
6)通信操作風險
如果在通訊加密、應用分區、防病毒、IDS 等安全措施出現技術或管理問題時,被攻擊者利用后,會引發信息安全風險。
7)基礎設施風險
基礎設施包括支撐業務應用系統的網絡(局域網、廣域網、互聯網、專線網、無線網)、硬件(服務器、主機、應用終端、共享設備)、物理環境,它們是組織業務賴以生存的基礎(如電力、WEB服務器、數據庫服務器等),一旦出現故障或中斷,它所承載的應用也會出現問題或停頓。
基礎設施風險要求組織在應用層、網絡層、鏈路層、物理層面進行綜合防御。
8)業務連續性風險
依賴于信息系統服務的組織關鍵業務可能因系統的“宕機”而中斷,或是因系統服務效能的降低(如響應時間過長)造成新客戶的流失或老客戶的轉移。
業務連續性風險,要求機構具備信息技術服務、安全事件處理和災難恢復能力。
9)第三方合作風險
第三方指服務供應商、銷售商。隨著外包業務的興起,許多組織業務依賴于供應商和銷售商的服務提供,由于不完備的合同、第三方服務能力性能下降、不適應快速增長的業務需求、缺乏第三方的管理經驗、產品支持失效、過短的升級周期、功能性不足等多種風險因素,導致第三方服務失效。
第三方合作風險要求在合同談判、轉換服務上加強風險管理。
10)風險評估風險
如果不專業的風險評估人員、不科學的評估方法、不一致的評估標準常常會造成系統風險評估的不一致、不正確的風險評估結果,造成風險決策出現失誤。
11)法律風險
在信息系統的運行過程中,由于不知曉國家法律,或是明知故犯,使組織面臨由于個人隱私泄露所造成的風險。
12)決策風險
應用風險評估的結果進行風險決策和控制選擇是信息安全風險管理的核心,也是最終的目標。如果在風險分析、評估、控制方面不能全面、科學反映組織的安全狀態,決策者可能會在安全投資方面出現重大失誤。決策風險主要是依據風險評估的結果在風險避免、風險減緩、風險轉移和風險承受四個方面進行權衡決策,避免決策失誤。
共有條評論 網友評論