1、信息平安與風險管理.平安管理平安管理主要內(nèi)容及概述平安方案是公司的平安管理的中心組成部分，目的是維護公司財富。風險分析是確定公司財富，發(fā)現(xiàn)構(gòu)成要挾的風險并評價這些危險變成現(xiàn)實的時能夠接受的危害和損失，風險分析的結(jié)果協(xié)助管理者采取可行的平安戰(zhàn)略，為在公司中發(fā)生的活動提供平安方面的指點，闡明平安管理在公司平安方案中的價值。平安教育將上面的信息灌輸給公司中的每個員工，這樣，每一個人都遭到教育，從而可以更容易的朝著同一個平安目的前進。.平安管理平安管理過程.平安管理平安管理職責平安方案平安方案須包括目的、范圍、方針、優(yōu)先級、規(guī)范和戰(zhàn)略。資源有人力資源、資本、硬件以及信息等多種方式。.平安管理自頂向下的

2、方法.平安管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制：設備維護、平安防護、鎖定、監(jiān)控、環(huán)境控制、入侵檢測技術(shù)控制：邏輯訪問控制、加密、平安設備、鑒別和認證管理控制：戰(zhàn)略、規(guī)范、規(guī)程、方針、屏蔽人員、平安認識培訓公司數(shù)據(jù)和財富.平安目的平安管理和支持控制.平安管理和支持控制平安的根本原那么.平安定義平安管理和支持控制脆弱性脆弱性（Vulnerability）是一種軟件、硬件或是過程缺陷，這種缺陷也許會給攻擊者提供正在尋找的方便之門，這樣他就能夠進入某臺計算機或某個網(wǎng)絡，并在這個系統(tǒng)中對資源進行未經(jīng)授權(quán)的訪問。威脅威脅（Threat）是威脅因素利用錯若星所造成的損失的潛能或是可能性。

3、暴露暴露（Exposure）是因威脅因素而遭受損失的一個案例。對策對策（countermeasure）或者安全措施，可以減輕潛在的風險。平安措施要挾要素要挾脆弱性風險資產(chǎn)暴露引起利用導致可以破壞并且引起一個不可以被預防，經(jīng)過直接作用到.機構(gòu)平安框架在網(wǎng)絡中評價這些概念的正確順序為：要挾、暴露、脆弱性、對策，最后為風險。這是由于：假設具有某種要挾新的SQL攻擊，但是除非他所在公司存在對應的脆弱性采用必要配置的SQL效力器，否那么公司不會暴露在要挾之中，這也不會構(gòu)成脆弱性。假設環(huán)境中確實存在脆弱性，就應該采取對應戰(zhàn)略，以降低風險。平安管理和支持控制.運用概念的順序平安管理和支持控制平安框架總體平安

4、性完好性可用性代價合理的處理方案平安措施對策法律責任平安認識系統(tǒng)可靠性戰(zhàn)略和規(guī)程維護需求數(shù)據(jù)分級功能性評價定量和定性風險評價風險分析定義風險和要挾完好性完好性業(yè)務對象.平安規(guī)劃平安管理和支持控制日常目的或操作目的都集中在任務效率和面向義務的活動和說那個，這樣才干保證公司的功能可以以一種平順而且可以預見的方式實現(xiàn)。中期目的或戰(zhàn)術(shù)目的，能夠是將一切的任務站和資源都整合到一個地方，這樣就可以實現(xiàn)集中控制。長期目的，或戰(zhàn)略目的，能夠會涉及到如下活動；將一切部門從公用通訊線路轉(zhuǎn)移到幀中繼方式，為一切的遠程用戶轉(zhuǎn)杯IPsec虛擬公用網(wǎng)；VPN以替代撥號方式，向系統(tǒng)中整個帶有必要平安措施是的無線技術(shù)。.平安

5、框架-Cobit平安管理和支持控制.平安框架COSO平安管理和支持控制控制活動 確保管理活動付諸實施的政策/流程。措施包括審批、授權(quán)、確認、建議、業(yè)績考核、資產(chǎn)平安和職責分別。監(jiān)視不斷評價內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實時和獨立的評價。管理層和監(jiān)視活動。 內(nèi)部審計任務?？刂骗h(huán)境 營造單位氣氛讓公司員工建立內(nèi)部控制要素包括耿直，品德價值，才干，權(quán)威和責任是其他內(nèi)部控制組成部分的根底信息和溝通及時地獲取，確定并交流相關(guān)的信息從內(nèi)部和外部獲取信息使得構(gòu)成從職責方面的指示到管理層有關(guān)管理行動的發(fā)現(xiàn)總結(jié)等各方面各類內(nèi)部控制勝利的措施的信息流風險評價 風險評價是為了到達企業(yè)目的而確認和分析相關(guān)的風險-構(gòu)成內(nèi)部控

6、制活動的根底一切的五個部分必需同時作用才干使內(nèi)部控制得以產(chǎn)生影響 監(jiān)控信息和溝通控制活動風險評價控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1監(jiān)控信息和溝通控制活動風險評價控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1coso是一個企業(yè)治理模型，而Cobit是一個IT治理模型。coso更多面向戰(zhàn)略層面，而Cobit那么更關(guān)注運營層面。Cobit可以看作是滿足許多coso目的的一種方法，但只能從it角度來看，由于coso還處置非IT工程，如公司文化、財務會計原那么、董事會責任和內(nèi)部通訊構(gòu)造。.平安框架ISO17799平安管理和支持控制ISO17799時最常用的規(guī)范，它由正

7、式規(guī)范英國規(guī)范7799BS7799開展而來。這個是一個世界公認的信息平安管理規(guī)范，他為企業(yè)平安提供高級概念化建議。它由兩部分構(gòu)成；第一部分是一個執(zhí)行指點，由如何建立一個綜合性的信息平安構(gòu)造體系的指點方針組成；第二部分是一個審計指點，闡明一個遵守ISO17799的組織必需滿足的要求。.平安框架ITIL平安管理和支持控制效力設計效力戰(zhàn)略效力轉(zhuǎn)換效力運營產(chǎn)生財務投資組合需求效力目錄效力級別可用性延續(xù)性供應商度量趨勢分析報告改良事件(Event)事故(Incident)問題技術(shù)訪問變卦資產(chǎn)&配置發(fā)布和部署有效性變卦資產(chǎn)&配置.平安框架小結(jié)平安管理和支持控制Cobit和COSO提供“要實現(xiàn)什么，而不是“

8、如何實現(xiàn)它，這就是ITIL和 ISO17799存在的緣由。要實現(xiàn)什么CobitCOSOISO17799ITIL如何實現(xiàn)它.平安管理平安治理平安治理Security Governance在本質(zhì)上非常類似于企業(yè)的IT治理，由于這三者在功能和目的上有重疊的地方。一切這三種治理都在公司的組織構(gòu)造內(nèi)進展，而且都以輔助確保公司的生存和開展為目的只是偏重點不同。IT治理學院在第二版中對平安治理的定義。“治理是董事會和執(zhí)行管理層履行的一組責任和實際，其目的在于提供戰(zhàn)略指點，確保目的得以實現(xiàn)，封信啊得到適當管理，并證明切葉的資源得到合理的利用。這個定義完全正確，但它依然非?；\統(tǒng)，這更像一個戰(zhàn)略性政策聲明，然而真

9、正的技巧是正確解釋并將他轉(zhuǎn)化成有意義的戰(zhàn)術(shù)、運作職能和實際。對于平安治理而言，必需有什么東西的到治理。一個組織必需執(zhí)行的一切控制共同成為平安方案.平安管理制定平安方案平安方案是一個永不終止的生命周期；.平安管理實施分配義務和責任指定和實施平安戰(zhàn)略、規(guī)程、規(guī)范、基線和指點。確定靜態(tài)和動態(tài)敏感數(shù)據(jù)。實施以下藍圖Blueprint資產(chǎn)確定和管理風險管理脆弱性管理法規(guī)服從身份管理和訪問控制變卦控制軟件開發(fā)聲明周期業(yè)務銜接性規(guī)劃認識和培訓物理平安事故呼應實施每個藍圖的處理方案管理、技術(shù)、物理的。開發(fā)每個藍圖的審計和監(jiān)控處理方案確定每個藍圖的目的、效力等級協(xié)議SLA和規(guī)范。方案和組織方案和組織確定管理承諾

10、成立監(jiān)視指點委員會評價業(yè)務推進力了解組織要挾概略進展風險評價在組織、運用軟件、網(wǎng)絡和組建鞥開發(fā)平安體系構(gòu)造。確定每個體系構(gòu)造層面的處理方案獲得管理層的同意，以繼續(xù)向前運作和維護遵照規(guī)程，確保一切極限在每個實施的藍圖中的到滿足執(zhí)行內(nèi)部和外部審計執(zhí)行每個藍圖中列出的義務管理每個藍圖的效力等級協(xié)議監(jiān)控和評價每個藍圖的核對日志、審計結(jié)果、搜集的規(guī)范值和SLA評價每個藍圖的目的完成情況每季與指點委員會舉行會議確定改提高驟，并將其整合到“方案和組織階段.平安管理平安框架藍圖.平安管理商業(yè)需求.信息風險管理風險是指破壞發(fā)生的能夠性，以及破壞發(fā)生后的衍生情況。信息風險管理Information Risk Ma

11、nagement，IRM指識別并評價風險、將它降低到可接受的程度、執(zhí)行正確的機制來維持這種程度的過程。關(guān)鍵是在于識別這些要挾，估計他們實踐發(fā)生的能夠性以及他們能夠呵斥的破壞，并采取恰當?shù)拇胧?，將環(huán)境的總體風險降低到組織以為可以接受的程度。風險管理概述.信息風險管理戰(zhàn)略IRM戰(zhàn)略為企業(yè)的風險管理過程及步驟提供根底架構(gòu)，應處理包括人員選拔、內(nèi)部要挾、物理平安與防火墻在內(nèi)的一切信息平安問題。同時，它還應為IRM團隊如何向高級管理層通報公司風險信息，以及如何執(zhí)行管理層的風險弱化戰(zhàn)略提供指點。恰當?shù)娘L險管理需求高級管理層的鑒定承諾以及一個文本化流程，這個過程為機構(gòu)的使命、IRM戰(zhàn)略和委任的IRM團隊提供

12、支持。信息風險管理.風險管理團隊完成目的的必要的條件獲得高級管理層的支持，從而對資源進展合理的調(diào)配。這個團隊也需求一個指點，在大型組織內(nèi)，這名成員運用50%70%的時間來處置風險管理任務。管理層必需投入資金對此人進展必要的培訓。為其提供風險工具，以確保風險管理任務的順利進展。信息風險管理.風險分析風險分析提供了一種本錢/收益比，也就是用來維護公司免收要挾平安措施的費用和預料中的損失所需求的代價之間的比值。信息風險管理.風險分析團隊要實現(xiàn)最有效的風險分析，就需求建立一個團隊，這個團隊的成員可以是管理人員、運用程序員、IT人員、審計員、系統(tǒng)及成員或者運轉(zhuǎn)部經(jīng)理，這個是必需的。樣一切的風險才干被充分

13、了解和量化。經(jīng)過進展內(nèi)部調(diào)查、訪問或舉行研討會?？梢运鸭皆S多類似的信息。信息風險管理.信息風險管理資產(chǎn)價值資產(chǎn)可以被賦予定量和定性的度量，不過這些度量方法應該有根有據(jù)。采取什么平安機制和應該破費多少資金來進展維護任務的第一步。確定一項資產(chǎn)的價值，還可以完成一個公司的其他假設該需求，包括下面這些。進展有效的本錢/收益分析選擇特定的對策和平安措施決議保險責任范圍了解什么東西正在面臨風險資產(chǎn)包括有形資產(chǎn)計算機、設備、供應品或無形資產(chǎn)聲譽、數(shù)據(jù)、知識產(chǎn)權(quán)。由于無形資產(chǎn)的價值會隨著時間而變化，所以很難對其進展量化。.信息風險管理要挾和脆弱性的關(guān)系威脅因素可能利用的脆弱性導致的威脅病毒缺少反病毒軟件病毒

14、感染黑客服務器上運行功能強大的服務對保密信息的非授權(quán)訪問用戶操作系統(tǒng)中配置錯誤的參數(shù)系統(tǒng)故障火災缺少滅火器材設施和計算機損失，可能造成生命損害雇員松懈的訪問控制；缺少審計損壞重要的關(guān)鍵信息；在數(shù)據(jù)處理應用程序中更改輸入輸出承包人松懈的訪問控制機制盜竊商業(yè)機密攻擊者寫的很差的應用程序；缺少嚴格的防火墻設置造成緩沖區(qū)溢出；進行拒絕服務攻擊入侵者缺少安全警衛(wèi)打破窗戶，盜竊計算機和設備.識別要挾信息風險管理.風險分析常見方法信息風險管理.定量風險方法信息風險管理.平安管理風險分析的步驟資產(chǎn)的價值是多少。維護需求多少本錢。資產(chǎn)的收益。對于競爭對手來說，他的價值是多少。重建和修復該資產(chǎn)需求多少費用。獲取和

15、開發(fā)該資產(chǎn)需求多少費用。資產(chǎn)損失，他要負多大的責任。會呵斥什么物理損失，這樣帶來多大的本錢。消費力損失多少，這會帶來多大的本錢？假設嚴密信息被泄露，損失多少?；謴瓦^來的本錢是多少。關(guān)鍵的設備出缺點，會帶來損失。對每項風險和設備的事故計算單次損失期望值SLE。從每個部門的人員那里手機有關(guān)每種風險發(fā)生能夠性的信息。檢查過去的記錄以及提供數(shù)據(jù)的官方平安資源。計算年發(fā)生概率ARO，也就是每種要挾在一年中能夠發(fā)生的次數(shù)將潛在損失和能夠性綜合起來運用前3部中計算得到的信息，對每種要挾計算年損失期望值ALE為抵消每項風險選擇補救措施為每項措施計算本錢/收益值減小風險分擔風險：買保險從而將部分或全部風險轉(zhuǎn)移接

16、受風險：讓分線存在，不花錢采取維護措施防止風險：終端危險的操作.定量風險計算的相關(guān)概念信息風險管理.定量風險計算的相關(guān)概念風險分析方法是定性分析，這種方法不對各個要素和損失賦予數(shù)值和貨幣價值。定性分析技術(shù)包括判別、直覺和閱歷。定性分析技術(shù)的例子有Delphi、頭腦風暴、情節(jié)串聯(lián)、焦點群體、調(diào)查、問卷、檢查表、一對一談判以及采訪。風險分析團隊撰寫了一頁概略，闡明黑客攻擊公司內(nèi)部5太文件效力器訪問呢嚴密信息的情況，并將它發(fā)給了預先選定的一個五人小組IT經(jīng)理、數(shù)據(jù)庫管理員、運用程序員、系統(tǒng)操作員和運轉(zhuǎn)部經(jīng)理。這個預先選定的團隊對要挾的嚴重程度、潛在損失和每種平安措施的有效性，用15的等級進展排序，1

17、代表最不嚴重、最不有效或最不能夠。威脅=黑客訪問保密信息威脅的嚴重性威脅發(fā)生的可能性給公司造成的潛在損失防火墻的有效性入侵檢測系統(tǒng)的有效性蜜罐的有效性IT經(jīng)理424432數(shù)據(jù)庫管理員444341應用程序員233421系統(tǒng)操作員343421運行部經(jīng)理544442結(jié)果3.63.43.63.831.4信息風險管理.屬性定量的定性的不需要計算需要更多的復雜計算設計大量猜想工作提供一般風險領(lǐng)域和指標更容易自動化評估用于風險管理性能追蹤提供可信的成本/收益分析使用可驗證而客觀的標準提供了那些非常清楚這個過程的職員的意見指出了可能在一年之內(nèi)招致的明確損失定量VS.定性定量方法缺陷評價方法及結(jié)果相對客觀無法為

18、本錢/收益分析建立貨幣價值用客觀方法很難追蹤風險管理目的沒有相應的規(guī)范。每個供應商解釋器評價過程和結(jié)果的方式各不一樣定性方法缺陷計算更加復雜。管理層可以了解這些結(jié)果是怎樣計算出來的嗎？沒有自動化的工具可供利用，這個過程完全需求手動完成需求做大量的根底性任務，手機與環(huán)境有關(guān)的詳細信息沒有相應的規(guī)范。每個供應商解釋其評價過程和結(jié)果的方式各不一樣。信息風險管理.維護機制信息風險管理確定風險分析的計算后，下一步是確定現(xiàn)行的平安機制并評價他們的效果。平安措施運用的本錢/收益計算公式為：實行平安措施之前的ALE-實行平安措施之后的ALE-平安措施每年的費用=平安措施對公司的價值.根底模塊提供一致的維護提供

19、否決功能默以為最小優(yōu)先級平安措施及其維護的資產(chǎn)相互獨立順應性和功能用戶交互用戶和管理員之間的清楚界限最少的人為干涉資產(chǎn)維護容易晉級審計功能最小化對其他組件的依賴性容易被職員運用和接受，并能容忍錯誤必需產(chǎn)生可用和可以了解的輸出必需可以重啟平安措施可檢測不引入其他危害系統(tǒng)和用戶效能普遍運用恰當?shù)木娌挥绊戀Y產(chǎn)平安措施采購思索要素信息風險管理.第1步第2步第3部指派資產(chǎn)和信息價值風險分析和評價選擇和實施防護措施要進展一項風險分析，公司就因該決議應該維護那些財富以及維護的程度如何。還應該闡明維護詳細的財富所需的錢數(shù)。應該評價依稀可用平安措施的功能，確定那些平安措施對環(huán)境最有力。然后評價一下平安差距、本錢，并作出比較。這些步驟和結(jié)果信息可以保證管理人員的選擇和購買防護措施最初最明智和最有遠見的決議。綜合思索信息風險管理.信息風險管理總風險VS.剩余風險.平安管理成立團隊確定范圍確定方法確定工具了解可接受的風險等級確定資產(chǎn)分配資產(chǎn)的價值確定脆弱性和要挾計算風險本錢/收益分析不確定性分析方案搜集信息定義建議減輕風險轉(zhuǎn)移風險接受