ISO-IEC-27001：2013-标准系列培训课程-信息安全风险管理.ppt

1、,信息安全风险管理,华夏认证中心有限公司 China Certification Center Inc.,ISO/IEC 27001:2013课程,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,沟通和磋商,监视和评审,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足？,满足？,风险沟通和磋商,风险监视和评审,风险决策点1评估满足,风险决策点2处置满足,NO,NO,YES,YES,第一次结束或随后重复,信息安全风险评估过程,ISO 31000风险评估过程,信息安全风险管理过程,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分

2、析,风险评价,风险处置,沟通和磋商,监视和评审,9.绩效评价ISO/IEC 27001:2013,6.1.3.信息安全风险处置ISO/IEC 27001:2013,6.1.2.信息安全风险评估ISO/IEC 27001:2013,7.支持ISO/IEC 27001:2013,4.组织背景ISO/IEC 27001:2013,信息安全风险管理过程,ISMS的调整和风险管理过程,信息安全风险管理,信息安全风险管理过程,风险评估,环境建立,风险识别,风险分析,风险评价,风险处置,风险接受,满足？,满足？,风险沟通和磋商,风险监视和评审,风险决策点1评估满足,风险决策点2处置满足,NO,NO,YES,

3、YES,第一次结束或随后重复,信息安全风险管理过程,确定环境信息,外部环境信息内部环境信息,输入,基本准则说明范围和边界说明组织架构说明,输出,确定基本准则确定范围和边界确定组织架构,过程,实施指南,确定信息安全风险评估的宗旨：支持ISMS 符合法律和尽职调查的证据 准备业务连续性计划 准备事件响应计划 描述某个产品、服务或机制对信息安全要求,确定环境信息,外部环境信息 external context组织寻求实现其目标的外部环境。注：外部环境可包括：文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境，无论国际、国家、区域或地方对组织目标具有影响的主要驱动和趋势。与外部利益相关方

4、的关系和其感受和价值观。ISO 导则 73:2009,定义 3.3.1.1,内部环境信息 internal context组织寻求实现其目标的外部环境。注：内部状况可包括：治理、组织结构、作用和责任；方针、目标、以及实现它们的战略；以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术）；信息系统、信息流和决策过程（正式和非正式的）；与内部利益相关方的关系、以及他们的感受和价值观；组织的文化；标准、指南和组织采用的模式；合同关系的形式和范围 ISO 导则 73:2009,定义 3.3.1.2,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险管理

5、方法根据风险管理的范围和目标的不同，可能采用不同的方法。对于每一循环，所采用的方法也可能不同。一个合适的风险管理方法应该选择或开发基本准则，如风险评价准则、影响准则、风险接受准则。,确定环境信息,风险评估技术,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,风险评估技术的特征,确定环境信息,头脑风暴法,确定环境信息,风险矩阵法,确定环境信息,风险矩阵法,确定环境信息,consequence（后果）：outcome of an event(3.3)affecting objectives ISO Guide 73:2009event（事态）：occurrence

6、 or change of a particular set of circumstances ISO Guide 73:2009An event can be defined as any detectable or discernible occurrence that has significance for the management of the IT Infrastructure or the delivery of IT service and evaluation of the impact a deviation might cause to the services.IT

7、IL V3Events are typically notifications created by an IT service,Configuration Item(CI)or monitoring tool.ITIL V3 incident（事件）：An unplanned interruption to an IT service or reduction in the quality of an IT service.Failure of a configuration item that has not yet impacted service is also an incident

8、,for example failure of one disk from a mirror set.ITIL V3,基本概念,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险评价准则开发风险评价准则应考虑如下内容：业务信息过程的战略价值 相关信息资产的危险程度 法律法规的要求和合同的义务 运营和业务可用性、保密性、完整性的重要程度 利益相关方的期望和认知，以及对信誉和名声的负面影响,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,影响准则开发影响准则应考虑如下内容，并以信息安全事态造成的对组织损害程度或成本的方式

9、来说明：受影响资产的分类级别 信息安全的违背（如保密性、完整性和可用性的丧失）运行的受损（内部或第三方的）业务或财务价值的损失对计划和最后期限的破坏 声誉的损失 对法律法规或合同要求的违背,确定环境信息,潜在后果/影响定义示例：,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则风险接受准则的常常依赖于组织的方针、目的、目标以及利益相关方的利益。,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则开发风险可接受准则时，应该考虑以下方面：风险接受准则可以包括带有风险期望目标级别的多个阈值，但在确定的情

10、形下，提交给高层管理者接受的风险可能超出该级别 风险可接受准则可以用估算收益（或业务收益）与估算风险的比值来描述 对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险 风险接受准则可以包括下一步的补充处置要求，例如，如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别，则风险可以被接受,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,风险接受准则风险接受准则可能因预计风险将多长时间存在而不同，例如风险可能与一个临时或短期活动相关。设定风险接受准则时，应该考虑：业务准则

11、法律法规方面 运营 技术 财务 社会和人为因素,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,范围和边界需要定义信息安全风险管理过程的范围，以保证在风险评估过程中考虑到所有相关资产。对任何排除在范围之外的，都应该提供正当的理由。风险管理范围可能是一个IT应用、IT基础设施、一个业务过程或组织的某个界定部分。需要定义边界以处理在边界处呈现的风险。,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,范围和边界在定义范围和边界时，考虑以下信息：组织的战略经营目标、战略和策略 业务过程 组织的职能和结构 适用于组织的法律法规和

12、合同义务的要求 组织的信息安全方针 组织风险管理的整体方法 信息资产 组织的位置及其地理特性 影响组织的约束条件 利益相关方的期望 社会文化环境 接口（与环境交换信息）,确定环境信息,基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构,组织架构设置和维持信息安全风险管理过程的组织架构和职责，并由管理者批准。下面是信息安全风险管理过程组织架构的主要角色和职责：开发适合组织的信息安全风险管理过程 识别和分析利益相关方 定义组织内、外部各方的角色和职责 在组织和相关利益方之间建立必要的联系，如组织高风险管理职能的接口（如运营风险管理），以及与其它项目或活动之间的接口 定义决策升级

13、路径 说明需要保存的记录,风险评估,基本准则范围和边界组织架构,输入,已按优先级排序的风险清单,输出,识别风险分析风险评价风险,过程,实施指南,确定信息资产价值识别适用的威胁 识别存在或可能存在的脆弱点 识别现有控制措施及对已识别风险的影响确定潜在后果风险优先级排序风险评估通常会进行两个或多个循环先进行高级别风险评估识别潜在高风险后对潜在高风险做进一步的详细考虑,风险评价,风险分析,风险识别,风险评估,识别风险源、影响区域、事件（包括环境变化）以及原因和潜在后果。目的是产生基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。包括其风险源是否在组织控制下的风险，即使风险源或原

14、因不明显也要识别。包括考查特定后果的直接影响，包括联锁和累积影响。包括识别什么可能发生，什么后果可能出现的可能原因和场景。应用适合的目标、能力及所面临风险的风险识别工具和技术。在识别风险时，最新的信息是重要的，包括可能的适当背景信息。具有适当知识的人员宜参与到识别风险中。,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,环境信息确定的范围和边界由所有者、位置和功能等构成的清单,输入,资产清单与资产相关的业务过程清单及相互关系,输出,

15、在范围内识别信息资产,活动,实施指南,资产是对组织有价值的任何东西每个资产要有资产所有者，并安排职责和责任资产所有者可能并不对资产拥有所有权，但对资产的产生、开发、维护、使用有适当保护责任,风险评价,风险分析,风险识别,风险评估,信息资产分类举例：基本资产 业务过程或活动 信息,支持性资产（基本资产所依赖的范围）硬件 软件 网络 人员 场所 组织架构,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,信息资产分类举例,风险评价,风险分析,风险识别,风险评估,业务与支持性资产之间的关系OBASHI方法论评估业务运作的以下六个“层次”,前两个层次研究业务运作的方

16、式，后四个层次研究支持这些运作活动的 IT 资产：Ownership（利益相关者）Business Process（业务流程）Application（应用程序）System（操作系统）Hardware（硬件）Infrastructure（基础架构）,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,所有权,业务流程,应用程序,系统,硬件,基础架构,产品与价格,创建订单,RoodMan SafeSeller,价格,订单表,产品,Microsoft SQL Server 2005,客户订单处理,销售经理,Windows XP,服务器,3G Modem,网络安全,订单执行,发票生成,IT经理,供应总监,财务总监,软防火墙,QL Server,ABCAccounts,Linux,W 2000,W S 2003,硬防火墙,服务器,服务器,新订单,发票生成,交换机,主干网,DMZ交换机,Modem,风险评价,风险分析,风险识别,风险评估,信息资产,威胁,控制措施,脆弱性,后果,后果严重性,发生可能性,风险级别,风险优先级,Ownership（利益相关者）Busi