浅谈企业信息安全风险评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2 0 1 3年第 o 8期 第2 9卷 ( 总3 3 2期 )
吉林 省 教 育学 院 学 报
J OUR NA L OFE DU C AT I ONA L I N S T I TU TEOF J t L N P I ROV I N C E
No . 0 8, 2 01 3 VO L 2 9 TO t a l N仇 3 3 2
扩大 , 同时 , 用 来 处理 这些信 息 的系统 也变 得越来 越
险及 各要 素之 间 的关 系 , 企 业 进 行 信 息 安全 风 险 管 理, 一般是按照这种关系作 为理论基础 与评估 出发 点 的。
复杂 , 信息资源 、 信息系统的安全性就显得越来越重
要了。
一
、
企 业信 息安 全需 求的确 定
件发生所产生的影 响与信息资产有很大关系 , 所以 可通过对资产的评估来获得。由此可得出信息系统 安全风险与信息资产、 威胁、 脆弱性 以及安全措施等
相 关 因素 有关 这一 结论 。如 图 1~1 , 反 映 了安 全 风
收稿 日期 : 2 O 1 3 —o 6 ’ _ o 9
作者简介 i 王子标 ( 1 9 8 3 一) , 男, 安徽毫 州人 。 毫州职业技术学 院信息工程系 , 助教 , 硕士 , 研究方 向: 计算机网络安全 。 刘 秀艳 ( 1 9 8 1 一) , 女, 安徽 毫州人 , 毫州市牛集镇中心中学 , 中教二级 , 研究方向 : 物理教育 。
1 4 5
识 别 各 因素的基 础上 , 综合考 虑各要 素 间的关联性 ,
重现 实际或 潜 在 的威 胁 场 景 , 分 析确 定 可 能造 成 的
后 面 的风 险确定 提供依据 。
( 三) 风 险确定
影响及 造成 后果 的 可 能性 , 从 而确 定 风 险 的存 在及
( 见图 2 . 1 所示) :
自己的风 险评 估方 法 , 因为合 适 的风 险评 估 方 法对 企业来 说具 有非 常重 要 的意义 。一般 的风 险评 估方
法 主要有 两种 : 即定 量 评估 和 定性 评 估 。对 于 常 见
2 . 1风险评估 实施流程
的评估项 目来讲 , 更简便有效 的方法是定性评估 。 根据 所要参 评 的企业 所 在 的行 业 特点 , 评 估 工 作 人 员通常会选择一些带有很强行业特色的风险评估方 法, 就拿毫州当地的很多中药制药企业来讲 , 只要将 中药制药行业的一些 专业术语 映射到 信息安全领 域, 就可以直接使用了。 三、 一种有效 的风 险分析 方法 故障树分析法( F T A ) 是2 0 世纪 6 O 年代提出来 的, 是一 种 自顶 向下 的风险分 析法 , 主要用 于分 析大
也是如此 。本 文简要 分析 了安徽 亳州本地的 中药企业的信 息安全 需求, 通过 对 国际信 息安全 管理标 准体 系 B S 7 7 9 9的描 述 , 分析 了风 险管理各要 素之间的关 系, 说 明了风险评估 的基本流程 , 最后总结 了一种适用于现代企业风 险评估 的分析方法。
关键词 : 信息安全 ; 风险评估 ; 故 障 树 分 析 法
浅 谈 企业 信 息 安 全风 险 评 估
王子 标 , 刘 秀艳2
( 1 . 亳 州职业技 术 学院 信 息 工程 系, 安徽 亳州 2 3 6 8 0 0 ;
2 . 亳州市牛集镇 中心中学, 安徽 亳州 2 3 6 8 2 3 )
摘要 : 随着计算机技术和通信技术 的高速发展 , 国民经 济和社 会发展 对信 息系统的依赖性 越来越 高 , 对 于一个 企业 来讲
对这些潜在 问题 的进一 步分 析, 确 定 企 业 的安 全 需求。
图 l — l各 要素关 系图
二、 企 业进 行信息 安全风 险评 估 的一般 流程
信 息 安全 风 险评估 工作 是 围绕其基 本要 素展 开
Hale Waihona Puke 般企业在进行风险评估工作之前 , 通 常会产 生一个 比如评估小组的组织 , 组织成员由企业各部
( 四) 风 险控制
经过上 述步骤 确定 了信息 系统 的安 全风 险等级 后, 根据风 险评 估 的结果进 行风 险处理 , 因 为信息 系 统 的安全风 险具有危 害严重 、 不可 转移 的特征 , 可采
取降低风险、 避免风险和接受风险三种方式。
根据 I S 0 2 7 0 0 1 标 准要求 , 企业应 选择 一种 适合
一
的。一般情况下 , 造成信息安全事件的原 因可归结 为 两个 , 一个就 是外 在 的威 胁 , 一 个就是 信息 系统 自 身的脆弱性。所以, 安全事件发生 的可能性值可 以
通 过对 信 息 的威 胁 和 脆 弱性 评 估 来 获得 。同 时 , 事
门代表组成 , 并负责与 自己部 门有关的评估工作 , 同
大小 , 为风险控制提供依据。其一般实施流程如下
u一 u
经过识 别 阶段得到信 息系统 在信息 资产 、 威胁 、
脆 弱性 和安全控 制措 施 方 面 的相关 数 据 之 后 , 按 照 相应 的计算方 法 ( 定量或 者定 性 ) , 来 确 定信 息 系统 的安 全风 险 , 并进行 专业性 的描述 。
确定一个企业信息安全需求 的最主要途径之一 就是对信息安全作 风险评估 , 企业对信息资产 的保 护措施 或控制方式也要根据风 险评估 的结果来制 定 。通过 繁 杂而辛 苦 的评估 活 动得 出 的风 险评估 结 论, 有助于企业了解并掌握企业 自身信息资产 的安 全状况 , 有助 于企 业找 出 自身资 产存在 的问题 , 通 过
中图分类 号 : F 2 7 0
文献标识码 : A
文章编号 : 1 6 7 1 —1 5 8 0 ( 2 0 1 3 ) O 8 —叭4 5 —0 2
随着 计算 机 技 术 及通 信 技 术 的飞速 发 展 , 关 系 到 国家 经济 和人 民生 活 的重 要信 息 资源 的规模 日益
时大 家一起讨 论 评估 工 作 中 出现 的一 些 共 性话 题 。
整个评估工作的事务总结及各组之间组员的协调 由 组长来完成 。在进行正式评估工作前 , 企业运作流 程是怎样的、 安全需求有哪些等问题需要各工作人 员了解并熟悉 , 信息安全管理相关的基本知识及风 险评估 的基本方法和技巧也是评估工作所有参与人 员必须熟练掌握的。风险评估的主要内容是在充分
吉林 省 教 育学 院 学 报
J OUR NA L OFE DU C AT I ONA L I N S T I TU TEOF J t L N P I ROV I N C E
No . 0 8, 2 01 3 VO L 2 9 TO t a l N仇 3 3 2
扩大 , 同时 , 用 来 处理 这些信 息 的系统 也变 得越来 越
险及 各要 素之 间 的关 系 , 企 业 进 行 信 息 安全 风 险 管 理, 一般是按照这种关系作 为理论基础 与评估 出发 点 的。
复杂 , 信息资源 、 信息系统的安全性就显得越来越重
要了。
一
、
企 业信 息安 全需 求的确 定
件发生所产生的影 响与信息资产有很大关系 , 所以 可通过对资产的评估来获得。由此可得出信息系统 安全风险与信息资产、 威胁、 脆弱性 以及安全措施等
相 关 因素 有关 这一 结论 。如 图 1~1 , 反 映 了安 全 风
收稿 日期 : 2 O 1 3 —o 6 ’ _ o 9
作者简介 i 王子标 ( 1 9 8 3 一) , 男, 安徽毫 州人 。 毫州职业技术学 院信息工程系 , 助教 , 硕士 , 研究方 向: 计算机网络安全 。 刘 秀艳 ( 1 9 8 1 一) , 女, 安徽 毫州人 , 毫州市牛集镇中心中学 , 中教二级 , 研究方向 : 物理教育 。
1 4 5
识 别 各 因素的基 础上 , 综合考 虑各要 素 间的关联性 ,
重现 实际或 潜 在 的威 胁 场 景 , 分 析确 定 可 能造 成 的
后 面 的风 险确定 提供依据 。
( 三) 风 险确定
影响及 造成 后果 的 可 能性 , 从 而确 定 风 险 的存 在及
( 见图 2 . 1 所示) :
自己的风 险评 估方 法 , 因为合 适 的风 险评 估 方 法对 企业来 说具 有非 常重 要 的意义 。一般 的风 险评 估方
法 主要有 两种 : 即定 量 评估 和 定性 评 估 。对 于 常 见
2 . 1风险评估 实施流程
的评估项 目来讲 , 更简便有效 的方法是定性评估 。 根据 所要参 评 的企业 所 在 的行 业 特点 , 评 估 工 作 人 员通常会选择一些带有很强行业特色的风险评估方 法, 就拿毫州当地的很多中药制药企业来讲 , 只要将 中药制药行业的一些 专业术语 映射到 信息安全领 域, 就可以直接使用了。 三、 一种有效 的风 险分析 方法 故障树分析法( F T A ) 是2 0 世纪 6 O 年代提出来 的, 是一 种 自顶 向下 的风险分 析法 , 主要用 于分 析大
也是如此 。本 文简要 分析 了安徽 亳州本地的 中药企业的信 息安全 需求, 通过 对 国际信 息安全 管理标 准体 系 B S 7 7 9 9的描 述 , 分析 了风 险管理各要 素之间的关 系, 说 明了风险评估 的基本流程 , 最后总结 了一种适用于现代企业风 险评估 的分析方法。
关键词 : 信息安全 ; 风险评估 ; 故 障 树 分 析 法
浅 谈 企业 信 息 安 全风 险 评 估
王子 标 , 刘 秀艳2
( 1 . 亳 州职业技 术 学院 信 息 工程 系, 安徽 亳州 2 3 6 8 0 0 ;
2 . 亳州市牛集镇 中心中学, 安徽 亳州 2 3 6 8 2 3 )
摘要 : 随着计算机技术和通信技术 的高速发展 , 国民经 济和社 会发展 对信 息系统的依赖性 越来越 高 , 对 于一个 企业 来讲
对这些潜在 问题 的进一 步分 析, 确 定 企 业 的安 全 需求。
图 l — l各 要素关 系图
二、 企 业进 行信息 安全风 险评 估 的一般 流程
信 息 安全 风 险评估 工作 是 围绕其基 本要 素展 开
Hale Waihona Puke 般企业在进行风险评估工作之前 , 通 常会产 生一个 比如评估小组的组织 , 组织成员由企业各部
( 四) 风 险控制
经过上 述步骤 确定 了信息 系统 的安 全风 险等级 后, 根据风 险评 估 的结果进 行风 险处理 , 因 为信息 系 统 的安全风 险具有危 害严重 、 不可 转移 的特征 , 可采
取降低风险、 避免风险和接受风险三种方式。
根据 I S 0 2 7 0 0 1 标 准要求 , 企业应 选择 一种 适合
一
的。一般情况下 , 造成信息安全事件的原 因可归结 为 两个 , 一个就 是外 在 的威 胁 , 一 个就是 信息 系统 自 身的脆弱性。所以, 安全事件发生 的可能性值可 以
通 过对 信 息 的威 胁 和 脆 弱性 评 估 来 获得 。同 时 , 事
门代表组成 , 并负责与 自己部 门有关的评估工作 , 同
大小 , 为风险控制提供依据。其一般实施流程如下
u一 u
经过识 别 阶段得到信 息系统 在信息 资产 、 威胁 、
脆 弱性 和安全控 制措 施 方 面 的相关 数 据 之 后 , 按 照 相应 的计算方 法 ( 定量或 者定 性 ) , 来 确 定信 息 系统 的安 全风 险 , 并进行 专业性 的描述 。
确定一个企业信息安全需求 的最主要途径之一 就是对信息安全作 风险评估 , 企业对信息资产 的保 护措施 或控制方式也要根据风 险评估 的结果来制 定 。通过 繁 杂而辛 苦 的评估 活 动得 出 的风 险评估 结 论, 有助于企业了解并掌握企业 自身信息资产 的安 全状况 , 有助 于企 业找 出 自身资 产存在 的问题 , 通 过
中图分类 号 : F 2 7 0
文献标识码 : A
文章编号 : 1 6 7 1 —1 5 8 0 ( 2 0 1 3 ) O 8 —叭4 5 —0 2
随着 计算 机 技 术 及通 信 技 术 的飞速 发 展 , 关 系 到 国家 经济 和人 民生 活 的重 要信 息 资源 的规模 日益
时大 家一起讨 论 评估 工 作 中 出现 的一 些 共 性话 题 。
整个评估工作的事务总结及各组之间组员的协调 由 组长来完成 。在进行正式评估工作前 , 企业运作流 程是怎样的、 安全需求有哪些等问题需要各工作人 员了解并熟悉 , 信息安全管理相关的基本知识及风 险评估 的基本方法和技巧也是评估工作所有参与人 员必须熟练掌握的。风险评估的主要内容是在充分