浅谈组织信息安全风险管理的重要性及实施步骤(精)

浅谈组织信息安全风险管理的重要性及实施步骤山东省电子产品监督检验所石秀芳

摘要:随着信息技术的高速发展,特别是 internet 的问世及网上交易的启用,许多信息安全的问题也纷纷出现。系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、业务发展甚至生存都带来严重的影响。在促进业务发展的同时如何保证自身的信息安全成了摆在面前的重要课题。文章通过对组织现有面临的信息安全问题的分析, 提出了通过建设信息安全管理体系解决信息安全问题, 着重阐述了在推行信息安全管理体系时如何进行信息安全风险管理活动。

论文关键词:风险管理

随着我国信息化和信息技术的快速发展,组织信息化水平的发展呈现良好态势,在自身业务发展壮大的同时,信息安全重要性日益凸显。在我们的周围,信息安全威胁无处不在。有人认为,信息安全“不就是安装杀毒软件,在电脑上设设密码吗?”当

我们这样想,就和全世界 95%的人一样,都错估、低估了信息对公司的致命影响。

日常工作中我们可能会碰到但住住被忽视的例子很多。

打印纸双面打印 ---好习惯换取的大损失。节约用纸是很多公司的好习惯, 员工往住会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,我们会发现打印、复印造成的废纸所包含公司机密竟然如此全面,连执行副总都会觉得汗颜,因为废纸记载了公司里比他工作日记都全面的内容。电脑易手 ---新员工真正的入职导师。所有的职业经理人可能都有过这样的经历:如果自己新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下,公司里曾经发生过的事情“尽收眼底” , 从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。如果是其他部门的电脑,自然也是另有一番乐趣。

光盘刻录 ---资料在备份过程中流失。如果想要拿走公司的资料,最好的办法是申请光盘备份,把文件做成特定的格式,交给网络管理员备份,然后声称不能正常打开,

要求重新备份,大多情况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司。

邮箱 ---信息窃取的中转站。利用电子邮件转移窃取的公司资料占所有信息

窃取的八成以上。很多企业不装软驱、光驱、 USB 接口, 却没有办法避免员工通过电子邮件窃取信息,相比之下,以上方法显得有些幼稚、可笑。

私人电脑 ---大量窃取资料常用手段。压缩软件的作用毕竟是有限的,如果把自己的笔记本电脑拿到单位来,连上局域网,只要半个小时,就是有 1个 G 的文件也可以轻松带走。

以上只是众多信息安全问题中的几个常见案例。人们利用这些手段能轻易获得公司的秘密,如果给别有用心的人利用就可能给公司带来严重的损失。从这些例子看,信息的泄漏很多时侯并不需要高超的技术手段,往往是由于公司没有规定相关的信息安全规章制度或人们还没有较高的信息安全意识。

如果组织有比较系统全面的信息安全制度,并在内部得到宣贯, 90%的信息安全威胁都是可以避免的。所以,我们需要一个完整的、全方位的、系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务的安全与正常运作。

以上讲述了信息安全所存在的威胁和可能性,为了解决信息安全问题,提高信息安全意识,保护信息资产的安全,重要的是按国际标准 ISO/IEC 27005-2008提供的进行风险管理的方法定期进行组织内的风险管理活动。风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

ISO/IEC 27005-2008《信息安全风险管理指南》中对风险管理的过程包括确定范围、风险评估、风险处置、风险接受、风险监控。

1、确定范围

根据业务、组织、位置、资产和技术等方面的特性,确定组织风险管理的范围和边界。要将与企业的业务流程、组织架构、覆盖的物理地址等相关的所有资产都纳入到风险管理的范围当中。

2、风险评估

风险评估包括风险分析和风险评价,是计算重要资产风险大小的过程,其目的是分开可接受的小风险和不能接受的大风险,为风险处置提供数据。风险评估

又包括以下 4个方面。

(1识别信息资产并赋值

在风险管理过程中所识别评估的资产有别于常见的固定资产,主要指信息、信息处理设施和信息使用者,包括硬件、软件、数据、服务和其他。从信息的保密性、完整性和可用性三个属性来评估资产的重要度等级。

(2识别重要资产面临的威胁

威胁是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。对威胁利用弱点导致危害的可能性进行不同等级的赋值。

(3脆弱性评估

脆弱性是资产被威胁利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。应从管理和技术两个方面来识别脆弱性,一般采用调查问卷、文档审核、人员访谈、现场检查等方法进行脆弱性的识别。并对脆弱性被威胁利用后的严重性进行赋值。

(4识别评估已有控制措施

在识别出威胁和脆弱性之后, 要针对威胁利用脆弱性产生的风险, 来识别组织自身是否已经采取了控制措施,并用定量赋值的方式来描述已采取控制措施的有效程度。

(5风险评价

在评价风险时,需要考虑资产的重要度等级、威胁利用弱点导致危害的可能性、脆弱性被威胁利用后的严重性影响和已采取控制措施的有效性。然后依据组织制定的评价方法进行计算,计算出风险值,并根据组织制定的准则,将风险进行分级。

3、风险处置

风险处置是选择并执行控制措施来改变风险的过程, 其目的是将评价出的不可接受风险降低、避免或转移。制定《风险处理计划》 ,选择控制措施并实施。根据不同的情况,所实施的控制措施可以降低风险级但不会根除风险,实施控制措施后仍然存在的风险为残余风险。

4、风险接受

对不可接受的风险采取一定的控制措施后还应再评估,以判断实施控制措施后的残余风险是否已经降低到适当的水平。残余风险需经过组织管理者批准,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。

5、风险监控

进行完一次风险评估后, 并不代表今后就万事大吉, 不必再进行风险评估了, 一般情况下组织需每年进行一次全面的风险评估复查,对风险评估结果,特别是采取的控制措施进行适当的评审。遇有特殊情况应该及时对组织风险进行再评估。小结