随着国家经济发展,为了解决信息安全问题,保护企业信息的安全,建立实施信息
安全风险管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息
安全风险管理体系。如何提高组织的信息安全,通过建设信息
安全风险管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息
安全风险管理体系的一个重要环节,也是信息
安全风险管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述 我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为
安全风险管理,
安全风险管理被认为是良好管理的一个组成部分,其过程如图1所示。
2.确定范围 在建立信息
安全风险管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织ISMS的范围,那么
安全风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到
安全风险管理的范围当中
3.风险分析 风险分析是标识
安全风险管理,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估威胁。 我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(2)识别评估脆弱性。 脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从
安全风险管理(风控网)和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(3)识别评估控制措施。 在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息
安全风险管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息
安全风险管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息
安全风险管理要求。
控制措施的有效性是我们风险评价的依据之一。 4.风险处置。 风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程: ①行动优先级排序。 行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项 评估建议的
安全风险管理选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。 对建议的
安全风险管理选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。 在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。 根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。 明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。 根据各自不同的情况,所实现的安全防护措施可以降低风险级但不会根除风险,实现安全防护措施后仍然存在的风险为残余风险,残余风险需经过组织管理者批示,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
最近更新