信息安全风险评估学习笔记

一、信息安全风险评估的基本概念

1. 风险评估：指在风险事件发生之前或之后（但还没有结束），对该事件给人们的生活、生命和财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响和损失。

2. 从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临对的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性评估。

3. 风险评估过程中需要考虑几个问题：

1）要确定保护的对象（或者资产）是什么？它的直接价值和间接价值如何？

2）资产面临哪些潜在威胁？导致威胁的问题是什么？威胁发生的可能性有多大？

3）资产中存在哪些弱点可能会被威胁或利用？利用的容易程度又如何？

4）一旦发生威胁事件，组织会遭受怎样的损失或者面临怎样的负面影响？

5）组织应该采取怎样的安全措施才能将风险带来的损失降到最低程度？

解决以上问题的过程，就是风险评估的过程。

4. 在进行风险评估时，需要考虑几个对应关系：

1）每项资产可能面临多种威胁。

2）威胁源（威胁代理）可能不止一个。

3）每种威胁可能利用一个或多个弱点。

二、信息安全风险评估工作概述

1. 几种比较典型的标准

1）CC标准

2）BS 7799（ISO/IEC 17799）

3）ISO/IEC 21827：2002（SSE-CMM）

2. 风险评估的原则

1）最小影响原则：风险评估过程中应该尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响。

2）可控性原则：风险评估的方法和过程要在双方认可的范围之内，风险评估的进度要按照进度表进度的安排，保证被评估方对于风险评估的控性。

3）整体性原则：风险评估内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

4）标准性原则：风险评估实施方案的设计和实施应依据国内或国际的相关标准进行。

5）规范性原则：风险评估工作中的过程和文档要具有很好的规范性，以便于项目的跟踪和控制。

6）保密原则：应对风险评估的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害被评估方的行为。

3. 风险评估的相关术语

1）资产：任何对组织有价值的事件。

2）可用性：需要时，授权实体可以访问和使用的特性。

3）保密性：信息不可用或不被泄露给未授权的个人、实体和过程的特性。

4）信息安全：保护信息的保密性、完整性、可用性及其他属性，如真实性、可核查性、可靠性和防抵赖性。

5）信息安全事件：指识别出发生的系统、服务或者网络事件表明可能违反信息安全策略或防护措施失效，或以前未知的与安全相关的情况。

6）信息安全事故：指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营遭横严重影响或威胁信息安全。

7）信息安全管理体系：指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。

8）完整性：保护资产的正确和完整的特性。

9）残余风险：实施风险处置之后仍旧残留的风险。

10）风险接受：接受风险的决策。

11）风险分析：系统地使用信息以识别来源和估计风险。

12）风险评估：风险分析和风险评价的全过程。

13）风险评价：将估计的风险与既定的风险准则进行对比，以确定重要风险的过程。

14）风险管理：指导和控制一个组织的风险协调的活动。

15）风险处置：选择和实施措施以改变风险的过程。

16）适用性声明：与组织ISMS相关并适用于组织ISMS的控制目标和控制措施的文件化陈述。