NISP 一级 | 7.2 信息安全风险管理

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

0x01：信息安全风险

信息系统不可能达到绝对安全，但可以通过安全风险（以下简称“风险”）控制来实现符合个人或单位目标的一定程度的安全。信息安全管理的核心思想是风险管理，关键在于如何控制、化解和规避风险。风险管理是信息安全管理的基本方法，通过对单位信息资产实施一定的安全管理措施，来保障信息的保密性、完整性和可用性。

0x0101：什么是信息安全风险？

风险是一种潜在的、负面的东西，处于未发生的状态，它是指遭受损害或损失的可能性。因此，风险一方面客观存在，另一方面其发生的时间具有不确定性。风险一旦发生，将会产生损失。风险强调的是损害的潜在可能性，而不是事实上的损害，风险是不能消除殆尽的。

信息安全管理使用规则中定义风险是指时间的概率及其结果的组合。信息安全风险管理指南中信息安全风险是人为或自然的威胁。利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其组织造成的影响。这个定义涉及威胁、脆弱性、影响等方面。

0x0102：相关术语含义介绍

威胁： 威胁是能够通过未授权访问、毁坏、揭露数据、修改或拒绝服务对系统造成潜在危害的任何环境或事件。通俗的说，威胁就是某人或某事发现一个特定的弱点，并将这些弱点用于恶意目的，其中使用这些弱点的实体称之为威胁主体。他可以是破坏设施的自然灾害，也可以是一个非法入侵系统的攻击者。
脆弱性： 脆弱性是指硬件、软件或协议在具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。
影响： 影响也称之为后果，是指一个事件对运行或整个组织机构影响的程度，在风险管理领域里，有时也特指威胁，利用脆弱性对资产或组织结构所造成的各种损失。
资产： 任何对单位有价值的信息或资源。资产可以是有形的，例如计算机网络、硬件设备等。资产也可以是无形的，例如组织机构的专利、知识产权和声育等。新系统安全的最终目标是保障和完成组织机构使命，保护资产不受威胁。
风险： 风险的一个或多个起源（风险源）。采用一种或多种方式威胁行为。通过一种或多种途径、脆弱性或漏洞侵害一个或多个受体资产，造成不良后果及影响。风险的大小与资产威胁、脆弱性这三个引起风险的最基本要素有关。资产本身具有价值，这是导致风险存在的根本原因。一个组织业务战略的实现依赖于组织的资产，依赖程度越高，允许组织承担的风险越小。
威胁： 威胁是引发风险的外在因素，资产面临的威胁越多则风险越大，并可能演变成安全事件。资产具有的脆弱性可能暴露资产威胁，利用脆弱性危害资产。资产的脆弱性越多则风险越大。信息安全风险是人为或自然的威胁，利用信息系统及其管理体系中存在的脆弱性可能导致安全事件发生，并对组织造成影响。信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性。

0x02：风险管理

0x0201：什么是风险管理？

风险管理是信息安全管理的基本方法，通过对组织信息资产实施一定的安全管理措施，来保障信息的保密性、完整性和可用性。风险管理是组织机构识别、评估风险并采取相关活动，将风险降低到一个可接受级别的过程。它是单位管理活动的一部分，其管理的主要对象就是风险。以风险为驱动的信息安全管理，其核心就是通过识别风险、选择对策消风险。

由于组织的业务运营越来越依赖于信息资产，信息安全相关风险在组织整体风险中所占的比例越来越高。信息安全风险管理的目的就是要缓解和平衡这一矛盾，将风险控制到可接受的程度，保护信息及相关资产，最终保障组织能够完成使命。好的风险管理过程，可以让组织资构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。使组织机构可以用一种一致的、调理清晰的方式来组织有限的资源并确定优先级，更好的进行管理风险，而不是将资源用于解决所有可能的风险。

0x0202：信息安全风险管理基本步骤

按照 GB/Z 24364-2009 《信息安全风险管理指南》，信息安全风险管理有四个基本步骤：背景建立、风险评估、风险处理和批准监督。而这四个步骤中贯穿了沟通咨询和监管审查活动。

1. 背景建立

背景建立是信息安全风险管理的第一步，它根据要保护的系统的业务目标和特性，确定风险管理的范围和对象，明确对象的特性及安全需求，完成信息安全风险管理项目的规划和准备，以保证后续风险管理活动的顺利进行。

背景建立过程是一次信息安全风险管理循环的开始，为风险评估提供输入。

2. 风险评估

风险评估是信息安全管理的基础。信息安全风险评估是识别、分析和评价信息安全风险的活动，主要是鉴定组织的信息及相关资产，评估信息资产面临的各种威胁和资产自身的脆弱性，同时评判已有的安全控制措施。通过风险评估活动，组织可以全面了解其面临的信息安全风险，从信息安全风险导出信息安全要求。组织实施信息安全管理并建立信息安全管理体系，首先需要确定信息安全需求，而获得主要手段就是信息安全风险评估。没有它，信息安全管理的实施和管理体系的建立就没有了依据。

3. 风险处理

风险处理是信息安全管理的核心。风险处理是对风险评估活动识别出的风险进行决策，采取适当的措施处理不能接受的风险，将风险控制在可接受的范围内。风险评估活动只能揭示组织面临的风险，不能改变风险状态。只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足，才能实现其信息安全目标。

4. 批准监督

批准监督是批准风险评估和风险处理的结果，并持续监督。在这一步，组织机构的决策层根据风险评估和风险处理的结果是否满足信息系统安全要求，作出否认可风险管理活动的决定。

以上四个步骤构成了一个螺旋上升的循环，使受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。这四个步骤的执行过程都需要监控审查和沟通咨询活动，前者可以及时发现出现的变化、偏差和延误等问题，并采取措施保障信息安全风险管理中主循环四个基本步骤的有效性。后者则是对以上执行过程的相关人员进行沟通和咨询，以保证他们之间的协调一致，并提高其风险意识和知识，保证安全目标的实现。

0x0203：风险管理的特点

风险管理是一个动态发展、不断循环的过程。一次风险管理完成后，因为新的变化引起新的风险，或者因为业务本身的要求，都需要进入新一轮风险管理周期。在实际操作时，风险管理应该和组织的信息系统周期过程紧密联系，在信息系统需求定义、设计、开发、实施、操作、维护等各个阶段都应结合风险管理活动。只有这样，风险管理才能适应动态变化而发展的现实环境。

以体系化的方式实施信息安全管理，才能实现并保持一定的信息安全水平。 信息安全管理 ISMS 是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系。它是信息安全管理活动的直接活动，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的结合。ISMS 是一种典型的基于风险管理方法和过程方法的管理体系。这两种方法贯穿于信息安全管理全生命周期，以保障组织的业务持续运行。