信息安全管理重點(diǎn)

1、1國(guó)家宏觀信息安全管理方面,主要有以下幾方面問(wèn)題：（1）法律法規(guī)問(wèn)題。健全的信息安全法律法規(guī)體系是確保國(guó)家信息安全的基礎(chǔ),是信息安全的第一道防線.（2）管理問(wèn)題。（包括三個(gè)層次：組織建設(shè)、制度建設(shè)和人員意識(shí)）（3）國(guó)家信息基礎(chǔ)設(shè)施建設(shè)問(wèn)題。目前,中國(guó)信息基礎(chǔ)設(shè)施幾乎完全是建立在外國(guó)的核心信息技術(shù)之上的,導(dǎo)致我國(guó)在網(wǎng)絡(luò)時(shí)代沒(méi)有制網(wǎng)權(quán).2005年度經(jīng)濟(jì)人物之首:中國(guó)芯創(chuàng)立者鄧中翰.十五期間,國(guó)家863計(jì)劃和科技攻關(guān)的重要項(xiàng)目:信息安全與電子政務(wù),金融信息化兩個(gè)信息安全研究項(xiàng)目.2微觀信息安全管理方面存在的主要問(wèn)題為：（1）缺乏信息安全意識(shí)與明確的信息安全方針。（2）重視安全技術(shù)，輕視安全管理。信息

2、安全大約70%以上的問(wèn)題是由管理原因造成的. （3）安全管理缺乏系統(tǒng)管理的思想。3信息安全的基本概念(重點(diǎn)CIA) 信息安全（Information security)是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性（Availability)的保持。 C:信息保密性是保障信息僅僅為那些被授權(quán)使用的人獲取,它因信息被允許訪問(wèn)對(duì)象的多少而不同. I:信息完整性是指為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性,一是指信息在利用,傳輸,儲(chǔ)存等過(guò)程中不被篡改,丟失,缺損等,另外是指信息處理方法的正確性. A:信息可用性是指信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時(shí)可立即獲得.系

3、統(tǒng)硬件,軟件安全,可讀性保障等4信息安全的重要性：a.信息安全是國(guó)家安全的需要b.信息安全是組織持續(xù)發(fā)展的需要c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要5如何確定組織信息安全的要求：a.法律法規(guī)與合同要求b.風(fēng)險(xiǎn)評(píng)估的結(jié)果(保護(hù)程度與控制方式)c.組織的原則、目標(biāo)與要求6信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，關(guān)于信息安全風(fēng)險(xiǎn)的指導(dǎo)和控制活動(dòng)通常包括制定信息安全方針、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式選擇、風(fēng)險(xiǎn)控制、安全保證等。信息安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過(guò)程,管理的基礎(chǔ)是風(fēng)險(xiǎn)的識(shí)別與評(píng)估。7 圖1-1信息安全管理PDCA持續(xù)改進(jìn)模式：.doc系統(tǒng)的信息安全管理原則：（1） 制訂信

4、息安全方針原則：制定信息安全方針為信息安全管理提供導(dǎo)向和支持（2） 風(fēng)險(xiǎn)評(píng)估原則：控制目標(biāo)與控制方式的選擇建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上（3） 費(fèi)用與風(fēng)險(xiǎn)平衡原則：將風(fēng)險(xiǎn)降至組織可接受的水平，費(fèi)用太高不接受（4） 預(yù)防為主原則：信息安全控制應(yīng)實(shí)行預(yù)防為主，做到防患于未然（5） 商務(wù)持續(xù)性原則：即信息安全問(wèn)題一旦發(fā)生，我們應(yīng)能從故障與災(zāi)難中恢復(fù)商務(wù)運(yùn)作，不至于發(fā)生癱瘓，同時(shí)應(yīng)盡力減少故障與災(zāi)難對(duì)關(guān)鍵商務(wù)過(guò)程的影響（6） 動(dòng)態(tài)管理原則：即對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理（7） 全員參與的原則：（8） PDCA原則：遵循管理的一般循環(huán)模式-Plan(策劃)-Do(執(zhí)行)-Check(檢查)-Action(措施)的持續(xù)改

5、進(jìn)模式。PDCA模式，如圖方 針措施 策劃 檢查 實(shí)施本對(duì)方針與信息 信息安全方針 安全管理體系 根據(jù)風(fēng)險(xiǎn)評(píng)估、法律法規(guī) 進(jìn)行評(píng)價(jià)， 要求、組織商務(wù)運(yùn)作自 尋找改進(jìn) 身要求確定控制目 的機(jī)會(huì)， 標(biāo)與控制方式商務(wù)持續(xù)發(fā)展采取措施 持續(xù)性計(jì)劃進(jìn)行有關(guān)方針、 實(shí)施組織所程序、標(biāo)準(zhǔn)與法律 選擇的控制法規(guī)的符合性檢查， 與控制方式對(duì)存在的問(wèn)題采取措施 予以改進(jìn) 因此，系統(tǒng)的信息安全管理是動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，它完全不同于傳統(tǒng)的信息安全管理模式：靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的

6、，不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失，商務(wù)可能因此癱瘓，不能持續(xù)。8 威脅(Threat),是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。如病毒和黑客攻擊,小偷偷盜等.9薄弱點(diǎn)(Vulnerability),是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。如員工缺乏安全意識(shí),口令簡(jiǎn)短易猜,操作系統(tǒng)本身有安全漏洞等.威脅是利用薄弱點(diǎn)而對(duì)資產(chǎn)或組織造成損害的.如無(wú)懈可擊,有機(jī)可乘.10風(fēng)險(xiǎn)(Risk),即特定威脅事件發(fā)生的可能性與后果的結(jié)合。特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn),導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性及其影響大小.經(jīng)濟(jì)代理人面對(duì)的隨機(jī)狀態(tài)可以用某種具體的概率值表示

7、.這里的風(fēng)險(xiǎn)只表示結(jié)果的不確定性及發(fā)生的可能性大小.11 風(fēng)險(xiǎn)評(píng)估(Risk Assessment),對(duì)信息和信息處理設(shè)施的威脅、影響(Impact)和薄弱點(diǎn)及三者發(fā)生的可能性評(píng)估.它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程,即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序,所以,風(fēng)險(xiǎn)評(píng)估也稱為風(fēng)險(xiǎn)分析12 風(fēng)險(xiǎn)管理（Risk Management),以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程。13 圖2-1風(fēng)險(xiǎn)管理過(guò)程結(jié)構(gòu).doc風(fēng) 險(xiǎn) 管 理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制降低風(fēng)險(xiǎn)a.安全控制(Security Control)，降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。b.剩余風(fēng)險(xiǎn)(Resid

8、ual Risk)，實(shí)施安全控制后，剩余的安全風(fēng)險(xiǎn)。c.適用性聲明(Applicability Statement)，適用于組織需要的目標(biāo)和控制的評(píng)述。14、術(shù)語(yǔ)概念之間的關(guān)系威 脅利用薄弱點(diǎn)防范導(dǎo)致暴露導(dǎo)致安全控制安全風(fēng)險(xiǎn)資產(chǎn)達(dá)到指出增加具有安全要求資產(chǎn)價(jià)值和潛在影響降低（其實(shí)，安全控制與薄弱點(diǎn)間、安全控制與資產(chǎn)間、安全風(fēng)險(xiǎn)與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系）圖2-2風(fēng)險(xiǎn)評(píng)估與管理的術(shù)語(yǔ)關(guān)系圖.doc（1）資產(chǎn)具有價(jià)值，并會(huì)受到威脅的潛在影響。（2）薄弱點(diǎn)將資產(chǎn)暴露給威脅，威脅利用薄弱點(diǎn)對(duì)資產(chǎn)造成影響。（3）威脅與薄弱點(diǎn)的增加導(dǎo)致安全風(fēng)險(xiǎn)的增加。（4）安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安

9、全提出要求（5）安全控制應(yīng)滿足安全要求。（6）組織通過(guò)實(shí)施安全控制防范威脅，以降低安全風(fēng)險(xiǎn)。15 .風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素：（1）信息資產(chǎn)及其價(jià)值 （2）對(duì)這些資產(chǎn)的威脅，以及他們發(fā)生的可能性（3）薄弱點(diǎn) （4）已有的安全控制措施16 .風(fēng)險(xiǎn)評(píng)估的基本步驟 （1）按照組織商務(wù)運(yùn)作流程進(jìn)行信息資產(chǎn)識(shí)別,并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià) （2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅識(shí)別與評(píng)價(jià) （3）對(duì)應(yīng)每一威脅，對(duì)資產(chǎn)或組織存在的薄弱點(diǎn)進(jìn)行識(shí)別與評(píng)價(jià) （4）對(duì)已采取的安全控制進(jìn)行確認(rèn) （5）建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,確定風(fēng)險(xiǎn)的大小與等級(jí)17資產(chǎn)估價(jià)是一個(gè)主觀的過(guò)程，資產(chǎn)價(jià)值不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的，

10、而是指其相對(duì)價(jià)值。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的賬面價(jià)格，更重要的是要考慮資產(chǎn)對(duì)于組織商務(wù)的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定。建立一個(gè)資產(chǎn)的價(jià)值尺度(資產(chǎn)評(píng)估標(biāo)準(zhǔn)).一些信息資產(chǎn)的價(jià)值是有時(shí)效性的,如數(shù)據(jù)保密.18 威脅發(fā)生的可能性分析：確定威脅發(fā)生的可能性是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，組織應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的可能性受下列因素的影響：（1）資產(chǎn)的吸引力，如金融信息、國(guó)防信息等（2）資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度（3）威脅的技術(shù)含量（4）薄弱點(diǎn)被利用的難易程度19威脅發(fā)生的可能性大小（具體根據(jù)需要定，可能取大于1的值，也可能

11、取小于1的值，但肯定不小于0）可以采取分級(jí)賦值的方法予以確定。如將可能性分為三個(gè)等級(jí)：非?？赡?3；大概可能=2；不太可能=1威脅事件發(fā)生的可能性大小與威脅事件發(fā)生的條件是密切相關(guān)的。如消防管理好的部門發(fā)生火災(zāi)的可能性要比消防管理差的部門發(fā)生火災(zāi)的可能性小。因此，具體環(huán)境下某一威脅發(fā)生的可能性應(yīng)考慮具體資產(chǎn)的薄弱點(diǎn)對(duì)這一威脅發(fā)生可能性的社會(huì)均值予以修正：PTV=PT*PV式中 PTV考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性； PT未考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性，即這一威脅發(fā)生可能性的組織、行業(yè)、地區(qū)或社會(huì)均值； PV資產(chǎn)的薄弱點(diǎn)被威脅利用的可能性評(píng)價(jià)威脅發(fā)生所造成的后果或潛在影響。不同的威

12、脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值（或重要度）為限。威脅的潛在影響I=資產(chǎn)相對(duì)價(jià)值V*價(jià)值損失程度CL價(jià)值損失程度CL是一個(gè)小于等于1大于0的系數(shù)，資產(chǎn)遭受安全事故后，其價(jià)值可能完全喪失（即CL=1），但不可能對(duì)資產(chǎn)價(jià)值沒(méi)有任何影響（即CL0）。為簡(jiǎn)化評(píng)價(jià)過(guò)程，可以用資產(chǎn)的相對(duì)價(jià)值代替其所面臨的威脅產(chǎn)生的影響，即用V代替I，讓CL=1。20薄弱點(diǎn)評(píng)價(jià)與已有控制措施的確認(rèn)：a.薄弱點(diǎn)的識(shí)別與評(píng)價(jià) 表2-2有關(guān)實(shí)物和環(huán)境安全方面的薄弱點(diǎn).doc b.對(duì)已有的安全控制進(jìn)行確認(rèn) 圖2-5控制措施與風(fēng)險(xiǎn)程度關(guān)系圖.doc21三元風(fēng)險(xiǎn)函數(shù) R=R(P

13、T，PV，V) 至 二元風(fēng)險(xiǎn)函數(shù) R=R(PTV,V）<均為增函數(shù)>圖2-6 風(fēng)險(xiǎn)區(qū)域示意圖（見筆記本最后一頁(yè) 1）22風(fēng)險(xiǎn)測(cè)量方法事例：例2-1 使用風(fēng)險(xiǎn)矩陣表進(jìn)行測(cè)量（預(yù)先價(jià)值矩陣Matrix with predefined value)表2-3風(fēng)險(xiǎn)價(jià)值矩陣表.doc利用威脅發(fā)生的可能性、薄弱點(diǎn)被威脅利用的可能性及資產(chǎn)的相對(duì)價(jià)值的三維矩陣來(lái)確定風(fēng)險(xiǎn)的大?。和{發(fā)生的可能性定性劃分為三級(jí)：低、中、高（02）；薄弱點(diǎn)被利用的可能性也定性劃分為三級(jí)：低、中、高（02）；受到威脅的資產(chǎn)的相對(duì)價(jià)值定性劃分為五級(jí)：（04） 共有3*3*5=45種風(fēng)險(xiǎn)情況，依據(jù)風(fēng)險(xiǎn)函數(shù)特性將這45種風(fēng)險(xiǎn)情況

14、按照某種規(guī)律賦值，形成事先確定的風(fēng)險(xiǎn)價(jià)值表（即確定風(fēng)險(xiǎn)函數(shù)R的矩陣表達(dá)式）表2-3 風(fēng)險(xiǎn)價(jià)值矩陣表中1資產(chǎn)相對(duì)價(jià)值V6威脅發(fā)生的可能性PT薄弱點(diǎn)被利用的可能性PV0123401212323412342345345623453456456734564567578高2低0高2中1低0高2低0中1高2低0中1如PT=0，PV=1，V=3，則R=R（PT，PV，V）=R（0，1，3）=4例2-2 二元乘法風(fēng)險(xiǎn)測(cè)量，計(jì)算公式為：R=R(PTV,I)=PTV*I即利用威脅發(fā)生的真實(shí)可能性PTV和威脅的潛在影響I兩個(gè)因素來(lái)評(píng)價(jià)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)大小為兩者因素值之乘積表2-4二元乘法風(fēng)險(xiǎn)計(jì)算表.doc表2-4 二元乘

15、法風(fēng)險(xiǎn)計(jì)算表 威脅 影響（資產(chǎn)） 威脅發(fā)生的 風(fēng)險(xiǎn) 威脅的等級(jí) 價(jià)值I 可能性PTV R 威脅A 5 2 10 2 威脅B 2 4 8 3 威脅C 3 5 15 1 威脅D 1 3 3 5 威脅E 4 1 4 4 威脅F 2 4 8 3 即，在此我們將威脅發(fā)生的可能性定性劃分為15級(jí)，威脅所造成的影響也定性劃分為15級(jí)。對(duì)于某一資產(chǎn)因不同威脅所產(chǎn)生的風(fēng)險(xiǎn)大小與風(fēng)險(xiǎn)排序（或者說(shuō)威脅的等級(jí)）就是上表所述的情形。注意：由于采用乘法計(jì)算風(fēng)險(xiǎn)，因此，這里的變量數(shù)值最好不要取為0例2-3 關(guān)于網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)測(cè)量舉例 R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO)式中：V

16、-系統(tǒng)的重要性 ； PO-防止威脅發(fā)生的可能性 , PTV = 1-PO ； PD-防止系統(tǒng)性能降低的可能性, CL= 1-PD表2-5風(fēng)險(xiǎn)計(jì)算結(jié)果.doc 以某個(gè)網(wǎng)絡(luò)系統(tǒng)作為信息資產(chǎn)的風(fēng)險(xiǎn)測(cè)量對(duì)象來(lái)開展根據(jù)網(wǎng)絡(luò)系統(tǒng)的重要性（系統(tǒng)的相對(duì)價(jià)值）V、威脅發(fā)生的可能性PTV、威脅發(fā)生時(shí)防止性能降低的可能性PD，三個(gè)因素來(lái)評(píng)價(jià)風(fēng)險(xiǎn)的大小。V系統(tǒng)的重要性，為系統(tǒng)的保密性C、完整性IN、可用性A三項(xiàng)評(píng)價(jià)值的乘積，即V=C×IN×A風(fēng)險(xiǎn)計(jì)算示例：如某組織有三個(gè)網(wǎng)絡(luò)系統(tǒng)：管理、工程與電子商務(wù)系統(tǒng)的保密性、完整性、可用性均定性劃分為低（1）、中（2）、高（3）三個(gè)等級(jí)；PO、PD均劃分為5級(jí)

17、，并賦予以下數(shù)值：均設(shè)定為小于1（why?）；很低0.1；低 0.3；中 0.5；高 0.7；很高0.9則，該組織這三個(gè)系統(tǒng)的風(fēng)險(xiǎn)大小及排序如下：表2-5 風(fēng)險(xiǎn)計(jì)算結(jié)果 網(wǎng)絡(luò)系 保密性 完整性 可用性 網(wǎng)絡(luò)系統(tǒng) 防止威 防止系統(tǒng) 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)統(tǒng)名稱 C IN A 重要性 脅發(fā)生 性能降低 排序 V PO PD R 管 理 1 3 2 6 0.1 0.3 3.78 2 工 程 2 3 2 12 0.5 0.5 3.00 3 電子商務(wù) 3 3 2 18 0.3 0.3 8.82 1 例2-4 可接受的和不可接受的風(fēng)險(xiǎn)區(qū)分方法 表2-6威脅頻率值計(jì)算表.doc 測(cè)量風(fēng)險(xiǎn)的另一個(gè)方法就是只區(qū)別可接受的和

18、不可接受的風(fēng)險(xiǎn)，這樣就能以較少的精力完成。利用此方法，風(fēng)險(xiǎn)測(cè)量的結(jié)果僅是可接受的（T）或不可接受的（N）例如：PT定性劃分為三級(jí)：低、中、高（02）；PV也定性劃分為三級(jí)：低、中、高（02）；受到威脅的資產(chǎn)的相對(duì)價(jià)值定性地劃分為五級(jí)（04）風(fēng)險(xiǎn)測(cè)量如下： 表2-6 威脅頻率值計(jì)算表威脅發(fā)生的可能性 低 中 高 PT 0 1 2 薄弱點(diǎn)被利用的可能性 L M H L M H L M H PV 0 1 2 0 1 2 0 1 2威脅頻率值PTV 0 1 2 1 2 3 2 3 4注意：1、威脅頻率值就是威脅真實(shí)發(fā)生的可能性大小，即考慮了薄弱點(diǎn)被利用的可能性后對(duì)威脅發(fā)生可能性的修正； 2、由于這里的

19、可能性值有為0，因此，此時(shí)用賦值方法，而不用乘法法來(lái)計(jì)算，即不用PTV=PT×PV 表2-7風(fēng)險(xiǎn)矩陣表.doc表2-7 風(fēng)險(xiǎn)矩陣表 R=R（PTV，V） 威脅頻率值資產(chǎn)相對(duì)價(jià)值V 0 1 2 3 4 0 T T T T N 1 T T T N N 2 T T N N N 3 T N N N N 4 N N N N N23風(fēng)險(xiǎn)優(yōu)先級(jí)別確定 例2-5 利用區(qū)間的方法將例2-1計(jì)算的風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分 表2-8風(fēng)險(xiǎn)等級(jí)劃分示例.doc對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)可接受與不可接受的界限應(yīng)當(dāng)考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)（機(jī)會(huì)損失成本）的平衡即風(fēng)險(xiǎn)控制成本機(jī)會(huì)損失成本（高風(fēng)險(xiǎn)） 不可接受

20、 即實(shí)施控制是值得的風(fēng)險(xiǎn)控制成本機(jī)會(huì)損失成本（低風(fēng)險(xiǎn)） 可接受 即實(shí)施控制是不值得的風(fēng)險(xiǎn)控制成本=機(jī)會(huì)損失成本 平衡 即實(shí)施控制與否無(wú)所謂風(fēng)險(xiǎn)控制成本是指實(shí)施和維持所選擇的控制的費(fèi)用之和機(jī)會(huì)損失成本是指資產(chǎn)一旦遭受威脅所造成的損失預(yù)期值 表2-8 風(fēng)險(xiǎn)等級(jí)劃分示例 風(fēng)險(xiǎn)數(shù)值區(qū)間 風(fēng)險(xiǎn)等級(jí) 6，7，8 1級(jí)，高風(fēng)險(xiǎn)，優(yōu)先重點(diǎn)控制 3，4，5 2級(jí)，一般風(fēng)險(xiǎn)，進(jìn)行適當(dāng)控制 0，1，2 3級(jí)，低風(fēng)險(xiǎn)，可以接受24風(fēng)險(xiǎn)控制過(guò)程 圖2-7風(fēng)險(xiǎn)控制過(guò)程.doc（見筆記本）25安全控制的識(shí)別和選擇：選擇依據(jù)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為依據(jù)以費(fèi)用因素為依據(jù) 如果風(fēng)險(xiǎn)控制成本大于機(jī)會(huì)損失成本,則所提議的控制是不合適的,即

21、所指的風(fēng)險(xiǎn)可接受,如果控制費(fèi)用比組織計(jì)劃的安全預(yù)算要高,也是不合適的,但如果預(yù)算不足以提供足夠數(shù)量和質(zhì)量的控制,導(dǎo)致不必要的風(fēng)險(xiǎn),那么就應(yīng)對(duì)其關(guān)注.安全控制預(yù)算應(yīng)為一個(gè)限制性因素予以考慮.26 風(fēng)險(xiǎn)控制： 降低風(fēng)險(xiǎn)途徑避免風(fēng)險(xiǎn),也稱規(guī)避風(fēng)險(xiǎn),屬去除威脅轉(zhuǎn)移風(fēng)險(xiǎn)減少威脅減少薄弱點(diǎn)減少威脅可能的影響程度探測(cè)有害事故，對(duì)其做出反應(yīng)并恢復(fù),屬及時(shí)捕捉威脅27 風(fēng)險(xiǎn)接受：信息系統(tǒng)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的. 組織在實(shí)施選擇的控制后,總?cè)杂袣埩舻娘L(fēng)險(xiǎn)，稱之為殘留風(fēng)險(xiǎn)或殘余風(fēng)險(xiǎn)或剩余風(fēng)險(xiǎn)。 造成殘余風(fēng)險(xiǎn)的原因:可能是某些資產(chǎn)未被有意識(shí)保護(hù)所致,如假設(shè)的低風(fēng)險(xiǎn);或者被提及的控制需要高費(fèi)用而未采取應(yīng)有的控制

22、 殘余風(fēng)險(xiǎn)應(yīng)在可接受的范圍內(nèi),即應(yīng)滿足: 殘余風(fēng)險(xiǎn) Rr=原有風(fēng)險(xiǎn)Ro-控制 R 殘余風(fēng)險(xiǎn) Rr可接受風(fēng)險(xiǎn)Rt 風(fēng)險(xiǎn)接受就是一個(gè)對(duì)殘余風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程:按照風(fēng)險(xiǎn)評(píng)估確定的風(fēng)險(xiǎn)測(cè)量方法對(duì)實(shí)施安全控制后的資產(chǎn)風(fēng)險(xiǎn)進(jìn)行重新計(jì)算,以獲得殘余風(fēng)險(xiǎn)的大小,并將殘余風(fēng)險(xiǎn)分為可接受或不可接受的風(fēng)險(xiǎn). 風(fēng)險(xiǎn)是隨時(shí)間而變化的，風(fēng)險(xiǎn)管理應(yīng)是一個(gè)動(dòng)態(tài)的管理過(guò)程，因此組織要?jiǎng)討B(tài)地定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，甚至在以下情況進(jìn)行臨時(shí)評(píng)估,以便及時(shí)識(shí)別需要控制的風(fēng)險(xiǎn)并進(jìn)行有效的控制：當(dāng)組織新增信息資產(chǎn)時(shí). 當(dāng)系統(tǒng)發(fā)生重大變更時(shí). 發(fā)生嚴(yán)重信息安全事故時(shí).組織認(rèn)為有必要時(shí).28風(fēng)險(xiǎn)評(píng)估與管理方法（分類，各風(fēng)險(xiǎn)評(píng)估含義及優(yōu)缺點(diǎn)）風(fēng)

23、險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的時(shí)間力度,以及具體開展的深度應(yīng)與組織的環(huán)境和安全要求相稱.A基本的風(fēng)險(xiǎn)評(píng)估：是指應(yīng)用直接和簡(jiǎn)易的方法達(dá)到基本的安全水平，就能滿足組織及其商業(yè)環(huán)境的所有要求。適用范圍：適用于商業(yè)運(yùn)作不是非常復(fù)雜的組織，并且組織對(duì)信息處理和網(wǎng)絡(luò)的依賴程度不高。優(yōu)點(diǎn)：（1）風(fēng)險(xiǎn)評(píng)估所需資源最少，簡(jiǎn)便易行（2）同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費(fèi)很大的精力。如果多個(gè)商業(yè)要求類似，并且在相同的環(huán)境中運(yùn)作，這些控制可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。缺點(diǎn)：（1）如果安全水平被設(shè)置的太高，就可能需要過(guò)多的費(fèi)用或控制過(guò)度；如果水平太低，對(duì)一些組織來(lái)說(shuō)，可能會(huì)得不到充分的安全。（由于方法是基

24、本的，不細(xì)，較粗，因此，評(píng)估結(jié)果可能也較粗，不夠精確，有一定的出入）（2）對(duì)管理相關(guān)的安全進(jìn)行更改可能有困難。如一個(gè)信息安全管理體系被升級(jí)，評(píng)估最初的控制是否仍然充分就有一定的困難。B詳細(xì)的風(fēng)險(xiǎn)評(píng)估：是指估，在此基礎(chǔ)上開展風(fēng)險(xiǎn)評(píng)估并隨后被用于安全控制的識(shí)別和選擇。對(duì)資產(chǎn)的詳細(xì)識(shí)別和估價(jià)，以及那些對(duì)資產(chǎn)形成威脅和相關(guān)薄弱點(diǎn)水平的詳細(xì)評(píng)優(yōu)點(diǎn)：（1）能獲得一個(gè)更精確的安全風(fēng)險(xiǎn)的認(rèn)識(shí)，從而更為精確地識(shí)別反映組織安全要求的安全水平。（2）可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織更改相關(guān)的安全管理受益。缺點(diǎn)：（1）需要非常仔細(xì)制訂被評(píng)估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)邊界，需要管理者持續(xù)關(guān)注，因而需要花費(fèi)相當(dāng)?shù)臅r(shí)間、精力和技術(shù)才能獲得可行的結(jié)果。（2）不能把一個(gè)系統(tǒng)的控制方案簡(jiǎn)單移植到另一個(gè)系統(tǒng)中，甚至是一個(gè)以為類似的系