4.2.1 f)识别和评价风险处理的可选措施 可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险准则的条件下,有意识地、客观地接受风险;
3) 避免风险;
4) 将相关业务风险转移到其他方,如:保险,供应商等。
4.2.1 g) 为处理风险选择控制目标和控制措施
应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则以及法律法规和合同要求。
2. 信息安全风险评估是信息安全风险管理的重要工作阶段
信息安全风险评估的目的是发现安全风险,分析安全风险;信息安全风险管理的目的是在风险评估的基础之上,找到控制风险与投入的最佳平衡点,也就是说将有限的资源投入到最需要解决的安全风险上。
我们来看一下微软(Microsoft)建立信息安全风险管理工作过程,其目的旨在帮助客户完善系统环境,阻止恶意或者未经授权地使用客户的系统资源,并进行有安全效性控制。这个体系的基本原理是:风险是一种在任何环境里都存在且这种风险是可以被预先控制的。下图显示了微软信息安全风险管理模型的各个过程。
图2 微软的安全风险管理模型
(1)评估风险
■ 规划数据收集 — 探讨成功和准备指南的关键所在;
■ 收集风险数据 — 概括数据收集流程并进行分析;
■ 确定风险优先级 — 概括定性和定量风险的说明性步骤。
(2)实施决策支持
■ 定义功能要求 — 定义功能要求以缓解风险;
■ 选择可能的控制解决方案 — 概括确定缓解解决方案的方法;
■ 审查解决方案 — 根据功能要求评价所提议的控制措施;
■ 评估风险降低程度 — 努力了解降低的风险暴露程度或风险概率;
■ 评估解决方案成本 — 评估与缓解解决方案相关联的直接或间接成本;
■ 选择缓解策略 — 完成成本效益分析以确定最具成本效益的缓解解决方案。
(3)实施控制
■ 寻求全局方法 — 将人员、流程和技术纳入缓解解决方案;
■ 按纵深防御组织 — 在整个企业内组织缓解解决方案。
(4)评定计划有效性
■ 制定风险评分卡 — 了解风险状态和进程;
■ 评定计划有效性 — 评价风险管理计划,以寻找机会以进行改善。
从微软的信息安全管理过程来看,其信息安全风险评估在其中主要完成两项工作:第一,搜集数据,发现风险;第二,根据评估对象的实际情况,确定风险的优先顺序。在此基础之上,才是进行方案的选择、控制的实施、以及评价风险的控制有效性。不难看出,风险控制和风险处理的目标是来源于先期的风险评估工作,因此说信息安全风险评估是信息安全风险管理的重要工作步骤。
三、信息安全风险评估是信息安全保障工作的重要核查手段
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,贯穿于信息安全保障的全过程。首先,在网络与信息系统的规划设计阶段,通过信息安全风险评估进一步明确安全需求和安全目标,可以保证安全建设投资的有效性;其次,在网络与信息系统验收阶段,通过信息安全风险评估可以验证已设计安装的安全设施能否实现安全目标,为验收提供技术数据;第三,在网络与信息系统运行维护阶段,定期进行信息安全风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。第四,当安全形势发生重大变化或网络与信息系统使命有重大变更时,及时进行信息安全风险评估,发现和了解新的风险,并及时调整安全保障技术和管理措施。
(责任编辑:adminadmin2008)