【正文】 過問　表 517 弱點(diǎn)賦值表 確定現(xiàn)有控制 在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。 安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。 已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。 風(fēng)險(xiǎn)評(píng)估完成資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估后，并考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)值計(jì)算在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組31織的影響，即安全風(fēng)險(xiǎn)。使用本方法需要首先確定信息資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要管理人員、技術(shù)人員的配合。運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算方式如下：風(fēng)險(xiǎn)值(RW)＝資產(chǎn)價(jià)值威脅可能性值脆弱性嚴(yán)重程度值 風(fēng)險(xiǎn)等級(jí)劃分確定風(fēng)險(xiǎn)數(shù)值的大小不是風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。風(fēng)險(xiǎn)等級(jí)在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。見下表。風(fēng)險(xiǎn)等級(jí)標(biāo)識(shí)風(fēng)險(xiǎn)值范圍描述建議處置方式1很低 RW≤5發(fā)生安全事件的可能性極小，即使發(fā)生對(duì)系統(tǒng)或組織也基本沒影響。A接受2 低6≤RW≤10發(fā)生安全事件的可能性較小，安全事件發(fā)生后使系統(tǒng)受到的破壞較小或使組織利益受到的損失較少。A接受3 中11≤RW≤30發(fā)生安全事件的可能性一般，安全事件發(fā)生后將使系統(tǒng)受到一定的破壞或使組織利益受到一定的損失。B降低4 高31≤RW≤40發(fā)生安全事件的可能性較大，安全事件發(fā)生后將使系統(tǒng)受到較大的破壞或使組織利益受到較多的損失。B降低5極高 41≤RW發(fā)生安全事件的可能性很大，安全事件發(fā)生后將使系統(tǒng)受到很大的破壞或使組織利益受到很多的損失。B降低表 520 風(fēng)險(xiǎn)等級(jí)描述表 風(fēng)險(xiǎn)評(píng)估結(jié)果紀(jì)錄風(fēng)險(xiǎn)評(píng)估的過程需要形成相關(guān)的文件及記錄，文檔管理考慮以下控制：321. 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；2. 必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；3. 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；4. 確保在使用時(shí)，可獲得有關(guān)版本的適用文件；5. 確保文件保持清晰、易于識(shí)別；6. 確保外來文件得到識(shí)別；7. 確保文件的分發(fā)得到適當(dāng)?shù)目刂疲?. 防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。對(duì)于風(fēng)險(xiǎn)評(píng)估過程中形成的記錄，還應(yīng)規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。風(fēng)險(xiǎn)評(píng)估過程應(yīng)形成下列文件：1. 風(fēng)險(xiǎn)評(píng)估過程計(jì)劃：該計(jì)劃中應(yīng)闡述風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)、組織機(jī)構(gòu)、評(píng)估過程所需資源、形成的評(píng)估結(jié)果。2. 風(fēng)險(xiǎn)評(píng)估程序：程序中應(yīng)明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備評(píng)估階段需要的表格，如信息資產(chǎn)識(shí)別與評(píng)估表。3. 信息資產(chǎn)識(shí)別清單：根據(jù)在風(fēng)險(xiǎn)評(píng)估程序文件中規(guī)定的資產(chǎn)分類方法進(jìn)行資產(chǎn)的識(shí)別，并形成信息資產(chǎn)識(shí)別清單，清單中應(yīng)明確各資產(chǎn)的負(fù)責(zé)人/部門。4. 威脅參考列表：應(yīng)根據(jù)評(píng)估對(duì)象、環(huán)境等因素，形成威脅的分類方法及具體的威脅列表，為風(fēng)險(xiǎn)評(píng)估提供支持。5. 脆弱性參考列表：應(yīng)針對(duì)不同分類的評(píng)估對(duì)象自身的弱點(diǎn)，形成脆弱性參考列表，為風(fēng)險(xiǎn)評(píng)估提供支持。6. 風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件，記錄對(duì)重要信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過程，包括脆弱性、威脅的賦值，已有安全控制措施的確認(rèn)，風(fēng)險(xiǎn)值的計(jì)算與等級(jí)劃分。7. 風(fēng)險(xiǎn)評(píng)估報(bào)告：風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程進(jìn)行總結(jié)，說明組織的風(fēng)險(xiǎn)狀況及殘余風(fēng)險(xiǎn)狀況，通過管理層的評(píng)審，確定評(píng)估后的風(fēng)險(xiǎn)狀況滿足業(yè)務(wù)發(fā)展及其他相關(guān)方的要求。上述文件均應(yīng)由運(yùn)維中心管理層批準(zhǔn)。336 風(fēng)險(xiǎn)管理過程通過風(fēng)險(xiǎn)評(píng)估對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別與估價(jià)后，引入合適的控制措施，對(duì)風(fēng)險(xiǎn)實(shí)施管理，把風(fēng)險(xiǎn)降低到運(yùn)維中心可以接受的程度，對(duì)風(fēng)險(xiǎn)的管理過程如下圖所示： 安 全 控 制 措 施 的 識(shí) 別 與 選 擇接 受 風(fēng) 險(xiǎn)降 低 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn) 評(píng) 估 過 程圖 61 風(fēng)險(xiǎn)管理過程 安全控制的識(shí)別與選擇選擇安全控制的另一個(gè)重要方面就是費(fèi)用因素，如果實(shí)施與維護(hù)這些控制的費(fèi)用比資產(chǎn)遭受威脅所造成的損失的預(yù)期值還要高，那么所選擇的控制是不適合的；如果控制費(fèi)用比組織計(jì)劃的安全預(yù)算要高，也是不適當(dāng)?shù)摹５绻捎陬A(yù)算不足使控制的數(shù)據(jù)與質(zhì)量下降，就會(huì)使系統(tǒng)產(chǎn)生不必要的風(fēng)險(xiǎn)，對(duì)此要特別注意。安全控制預(yù)算應(yīng)該作為一個(gè)限制性的因素加以考慮。同樣，也可以對(duì)現(xiàn)有的控制進(jìn)行費(fèi)用比較，如果現(xiàn)有控制不是充分有效，就要考慮取消或改進(jìn)。根據(jù) ISO27001 的要求，運(yùn)維中心在以下領(lǐng)域引入控制措施：1. 安全政策2. 信息安全的組織3. 資產(chǎn)管理4. 人力資源安全5. 物理與環(huán)境安全6. 通訊與操作管理7. 訪問控制8. 信息系統(tǒng)獲取、開發(fā)及維護(hù)349. 信息安全事故管理10. 業(yè)務(wù)連續(xù)性管理11. 符合性控制的選擇要考慮非技術(shù)性的控制與技術(shù)性的控制之間的平衡，兩種控制之間是互相支持與互補(bǔ)的。運(yùn)營管理包括物理、人員、行政管理等方面安全的控制。當(dāng)選擇安全控制措施進(jìn)行實(shí)施時(shí)的考慮因素：1. 控制的易用性2. 用戶的透明度3. 為用戶提供幫助，以發(fā)揮他們的績效4. 控制的相對(duì)強(qiáng)度5. 實(shí)現(xiàn)的功能類型—預(yù)防、威懾、探測(cè)、恢復(fù)、糾正、監(jiān)控和安全意識(shí)教育一般來說，一個(gè)控制可以實(shí)現(xiàn)多個(gè)功能，實(shí)現(xiàn)得越多越好。在考慮總體安全性或應(yīng)用一系列控制的時(shí)候，應(yīng)盡可能保持各種功能之間的平衡，這有助于總體安全獲得較好的效果與較高的效率。為了實(shí)現(xiàn)組織的安全需求，有必要認(rèn)清引起風(fēng)險(xiǎn)的原因：信息資產(chǎn)的脆弱性及面臨的威脅，這些原因可以通過風(fēng)險(xiǎn)評(píng)估過程而確定。 降低風(fēng)險(xiǎn)為了識(shí)別風(fēng)險(xiǎn)，要綜合考慮威脅、脆弱性及其他風(fēng)險(xiǎn)評(píng)估的結(jié)果；一旦風(fēng)險(xiǎn)被識(shí)別出來后，下一步要做的工作就是選擇控制措施減少風(fēng)險(xiǎn)，即通過以下途徑達(dá)到降低風(fēng)險(xiǎn)的目的：1. 避免風(fēng)險(xiǎn)：例如將重要的計(jì)算機(jī)系統(tǒng)與 Inter 隔離，免受外部網(wǎng)絡(luò)的攻擊。2. 轉(zhuǎn)移風(fēng)險(xiǎn)：例如通過購買商業(yè)保險(xiǎn)將風(fēng)險(xiǎn)進(jìn)行轉(zhuǎn)移，或?qū)⒏唢L(fēng)險(xiǎn)的信息處理業(yè)務(wù)外包給第三方。3. 減少威脅：例如通過安裝防病毒軟件，防止系統(tǒng)受病毒感染。4. 減少脆弱性：例如系統(tǒng)經(jīng)常性地安裝補(bǔ)丁包，修補(bǔ)系統(tǒng)漏洞，以防止系統(tǒng)脆弱性被利用。5. 減少可能的影響：例如建立業(yè)務(wù)持續(xù)性計(jì)劃，把災(zāi)難造成的損失降到最35低。6. 檢測(cè)意外事件，響應(yīng)，并恢復(fù)：例如使用網(wǎng)絡(luò)管理系統(tǒng)，網(wǎng)絡(luò)性能與故障進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)出現(xiàn)的問題。選擇哪一種減少風(fēng)險(xiǎn)的方式，要根據(jù)運(yùn)營的具體業(yè)務(wù)環(huán)境與條件來決定，為減少風(fēng)險(xiǎn)所選的控制要與特定的業(yè)務(wù)要求相匹配，而且要對(duì)所選的控制進(jìn)行充分的評(píng)估。 接受風(fēng)險(xiǎn)運(yùn)維中心在實(shí)施所選擇的控制措施后，始終存在殘留風(fēng)險(xiǎn)，這是因?yàn)樾畔⑾到y(tǒng)不可能是絕對(duì)安全的，甚至有些殘留風(fēng)險(xiǎn)是企業(yè)有意對(duì)某些資產(chǎn)沒有進(jìn)行保護(hù)而造成的，這是由于風(fēng)險(xiǎn)較低或要實(shí)施安全控制的成本太高。風(fēng)險(xiǎn)接受是一個(gè)對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程。在安全控制實(shí)施后，運(yùn)維中心需要對(duì)己實(shí)施的安全控制進(jìn)行評(píng)審，即對(duì)所選擇的控制措施在多大程度上降低了風(fēng)險(xiǎn)做出判斷，并根據(jù)殘留風(fēng)險(xiǎn)的大小，將殘留風(fēng)險(xiǎn)分為“可接受的”或“不可接受”的風(fēng)險(xiǎn)。對(duì)于無法接受的風(fēng)險(xiǎn)，不應(yīng)該容忍，而應(yīng)該考慮增加控制以降低風(fēng)險(xiǎn)。對(duì)于每一個(gè)無法接受的風(fēng)險(xiǎn)，必須做出業(yè)務(wù)決策以判斷是否接受這個(gè)風(fēng)險(xiǎn)，或者增加控制費(fèi)用將風(fēng)險(xiǎn)降到一個(gè)可以接受的水平。運(yùn)維中心針對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及控制措施，明確責(zé)任、進(jìn)度、資源，并通過對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)確保所選擇控制的有效。運(yùn)維中心在完成了風(fēng)險(xiǎn)評(píng)估、降低風(fēng)險(xiǎn)與接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理過程后，可以將風(fēng)險(xiǎn)控制在一個(gè)可以接受的水平，但這并不意識(shí)著風(fēng)險(xiǎn)評(píng)估工作的結(jié)束。事實(shí)上，隨著時(shí)間的推移，由于運(yùn)維中心的業(yè)務(wù)環(huán)境在不斷變化，新的威脅與脆弱性也在不斷增加，組織由于業(yè)務(wù)要求可能要增加新的信息處理設(shè)施，有關(guān)信息的法律法規(guī)也在變化，所以，風(fēng)險(xiǎn)也是隨時(shí)間而變化的，風(fēng)險(xiǎn)管理是動(dòng)態(tài)的、持續(xù)改進(jìn)的過程，組織需要進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理。特別是在以下情況發(fā)生時(shí)，來進(jìn)行臨時(shí)的風(fēng)險(xiǎn)評(píng)估，以便及時(shí)識(shí)別風(fēng)險(xiǎn)并進(jìn)行有效控制：1. 當(dāng)新增信息資產(chǎn)時(shí)；2. 當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)；3. 發(fā)生嚴(yán)重信息安全事故時(shí)；4. 企業(yè)認(rèn)為有必要時(shí)。36 風(fēng)險(xiǎn)管理要求1. 風(fēng)險(xiǎn)評(píng)估和管理要至少每年進(jìn)行一次。 2. 信息安全主管要：1) 指定具備風(fēng)險(xiǎn)評(píng)估和管理方法的知識(shí)的某一獨(dú)立方(風(fēng)險(xiǎn)評(píng)估員)進(jìn)行風(fēng)險(xiǎn)評(píng)估。2) 與風(fēng)險(xiǎn)評(píng)估員合作確定需要參與風(fēng)險(xiǎn)評(píng)估的工作組。3) 按照安全關(guān)切和對(duì)風(fēng)險(xiǎn)評(píng)估員的業(yè)務(wù)流程的重要程度商定風(fēng)險(xiǎn)評(píng)估的范圍。4) 與風(fēng)險(xiǎn)評(píng)估員商定風(fēng)險(xiǎn)可能性和風(fēng)險(xiǎn)影響程度并從有關(guān)的工作組獲取輸入。3. 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理會(huì)產(chǎn)生以下項(xiàng)目:1) 風(fēng)險(xiǎn)評(píng)估報(bào)告： ? 記錄評(píng)估過程中包括的資產(chǎn)、環(huán)境和組織? 參與風(fēng)險(xiǎn)評(píng)估的各方 ? 風(fēng)險(xiǎn)情形的優(yōu)先順序表 2) 對(duì)于風(fēng)險(xiǎn)評(píng)估報(bào)告中確定為「極高」或「高」類別(合稱「高風(fēng)險(xiǎn)」)的風(fēng)險(xiǎn)類別，需要編定風(fēng)險(xiǎn)管理報(bào)告記錄建議的風(fēng)險(xiǎn)化解措施，例如：? 增加新的安全控制措施 ? 變更現(xiàn)有的安全控制措施 ? 增加新的控制目標(biāo)、控制措施、過程和程序? 資源的調(diào)配安排 4. 信息安全主管應(yīng)在信息安全管理工作小組會(huì)議上出具風(fēng)險(xiǎn)評(píng)估報(bào)告。5. 信息安全管理工作小組應(yīng)： 1) 審議風(fēng)險(xiǎn)評(píng)估報(bào)告和建議的風(fēng)險(xiǎn)化解措施。2) 決定采用哪種風(fēng)險(xiǎn)化解措施。3) 發(fā)起 ISMS 評(píng)審并將建議的變更記入信息安全體系審核表格。6. 信息安全主管應(yīng)適當(dāng)執(zhí)行變更并關(guān)閉信息安全體系審核表格。7 相關(guān)文件無。3