风险管理的作用

风险管理的作用

风险管理是IT管理者平衡IT系统及数据的保护成本和保护收益的方法，包括：

•风险评估（Risk Assessment）；

•风险消减（Risk Mitigation）；

•持续评价（Continual Evaluation）；

风险管理的作用在于能够为机构完成其使命提供：

•更安全的IT系统；

•更有效的IT安全预算；

•IT系统运行认可（Accreditation）依据；

风险管理的关键角色

•高级管理人员（Senior Management），为风险管理项目提供有效的资源保证，将风险分析的结果运用于管理决策；

•首席信息官（Chief Information Officer，CIO），将风险管理原则和方法用于IT计划、预算及其执行活动；

•系统和信息拥有者（System and Information Owners），支持风险管理项目，并将风险管理原则和方法用于其IT系统和数据的保护中；

•业务和职能管理人（Business and Functional Managers），将风险管理原则和方法用于业务运行和IT采购决策中，以便IT系统能够更安全、有效地支持业务活动；

•信息系统安全官（Information System Security Officer，ISSO），IT风险管理项目的具体负责人，制定IT系统风险识别、评估和消减的全面方案，并向高级管理人员提供建议；

•IT安全专业人员（IT security Practitioners），包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等，支持和参与相关IT系统的风险管理工作，包括识别系统中的风险并部署适当的防范措施，为系统提供适当的安全保护；

•安全意识培训师（Security Awareness Trainers），理解风险管理方法并开发风险管理相关的培训材料，在培训项目中为用户提供培训评估方面的教育。

风险评估

•系统评定（System Characterization）

•威胁识别（Threat Identification）

•缺陷识别（Vulnerability Identification）

•控制分析（Control Analysis）

•可能性确定（Likelihood Determination）

•影响分析（Impact Analysis）

•风险确定（Risk Determination）

•控制建议（Control Recommendations）

•结果报告（Results Documentation）

系统评定

•确定风险评估工作的范围；

•勾勒运作授权（或认可）边界；

•提供定义系统风险的重要信息，这些信息主要包括以下类型：

o硬件；

o软件；

o系统接口（如内部和外部连接）；

o数据和信息；

o支持和使用IT系统的人员；

o系统的使命（如IT系统所起的作用）；

o系统和数据的关键程度（如系统的价值或对机构的重要性）；

o系统和数据的敏感性。

系统评定应收集的信息

•IT系统的功能需求（Functional Requirements）；

•系统的用户，包括为系统提供技术支持的系统用户（System Users），和使用系统执行业务功能的应用用户（Application Users）；

•系统安全政策（Security Policy），包括机构政策（Organizational Policy）、政府要求（Federal Requirements）、法律法规（Law）和业界惯例（Industry Practices）；

•系统安全架构（System Security Architecture）；

•当前的网络拓扑（Topology）；

•保护系统和数据可用性、完整性和保密性的信息存储安全措施；

•IT系统相关的信息流图，如系统接口、系统输入和输出流程图（Flowchart）；

•用于IT系统的技术控制措施，如支持识别（Identification）和认证（Authentication）、访问控制（Access Control）、审计（Audit）、残留（Residual）信息保护、加密（Encryption）的内建或附加安全功能；

•用于IT系统的管理控制措施，如行为规则（Rules of Behavior）、安全计划（Security Planning）；

•用于IT系统的运行控制措施，如人事安全（Personnel Security）、备份（Backup）、应急（Contingency）、复原（Resumption）和恢复（Recovery）操作、系统维护（System Maintenance）、离站存储（Off-Site Storage）、用户账户（User Account）建立和删除规程、用户功能隔离（Segregation）控制；

•IT系统的物理安全措施，如设施安全（Facility Security）、数据中心政策（Data Center Policies）；

•IT系统的环境安全措施，如湿度、温度、水、能源、污染和化学品控制。

系统评定的信息收集技术

•问卷（Questionnaire），如评估人员设计关于管理和运行控制方面的问卷，将其发放给设计或支持系统的技术或非技术管理人员填写，也可以在现场访问中使用；

•现场访问（On-Site Interviews），与系统支持和管理人员会面了解系统相关信息，并可以现场了解系统的物理、环境和运行安全措施；

•文档查看（Document Review），政策文档，如法律文件（Legislative Documentation）、上级指示（Directive），系统文档，如系统用户指南、系统管理手册、系统设计和需求文档、采购文档，安全相关文档，如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全政策可以提供大量相关信息；

•使用自动化扫描工具（Automated Scanning Tool），使用如网络扫描工具等技术方法可以快速获得系统配置信息。

问卷主题举例

•哪些人是合法用户？

•用户机构的使命？

•系统在用户使命中的作用？

•系统对于用户使命有多重要？

•系统的可用性需求？

•机构需要什么信息（包括双向的）？

•系统生成、使用、处理、存取什么信息？

•信息对于用户使命有多重要？

•信息流经的路径？