【正文】 過問　表 517 弱點賦值表 確定現(xiàn)有控制 在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進行確認。安全措施的確認應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。 安全措施可以分為預(yù)防性安全措施和保護性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。 已有安全措施確認與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點，但安全措施確認并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風險處理計劃的制定提供依據(jù)和參考。 風險評估完成資產(chǎn)評估、威脅評估、脆弱性評估后，并考慮已有安全措施的情況下，利用恰當?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風險。 風險值計算在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組31織的影響，即安全風險。使用本方法需要首先確定信息資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要管理人員、技術(shù)人員的配合。運維中心風險評估中風險值計算方式如下：風險值(RW)＝資產(chǎn)價值威脅可能性值脆弱性嚴重程度值 風險等級劃分確定風險數(shù)值的大小不是風險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值，即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。風險等級在運維中心風險評估中采用分值計算表示。分值越大，風險越高。見下表。風險等級標識風險值范圍描述建議處置方式1很低 RW≤5發(fā)生安全事件的可能性極小，即使發(fā)生對系統(tǒng)或組織也基本沒影響。A接受2 低6≤RW≤10發(fā)生安全事件的可能性較小，安全事件發(fā)生后使系統(tǒng)受到的破壞較小或使組織利益受到的損失較少。A接受3 中11≤RW≤30發(fā)生安全事件的可能性一般，安全事件發(fā)生后將使系統(tǒng)受到一定的破壞或使組織利益受到一定的損失。B降低4 高31≤RW≤40發(fā)生安全事件的可能性較大，安全事件發(fā)生后將使系統(tǒng)受到較大的破壞或使組織利益受到較多的損失。B降低5極高 41≤RW發(fā)生安全事件的可能性很大，安全事件發(fā)生后將使系統(tǒng)受到很大的破壞或使組織利益受到很多的損失。B降低表 520 風險等級描述表 風險評估結(jié)果紀錄風險評估的過程需要形成相關(guān)的文件及記錄，文檔管理考慮以下控制：321. 文件發(fā)布前得到批準，以確保文件是充分的；2. 必要時對文件進行評審、更新并再次批準；3. 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；4. 確保在使用時，可獲得有關(guān)版本的適用文件；5. 確保文件保持清晰、易于識別；6. 確保外來文件得到識別；7. 確保文件的分發(fā)得到適當?shù)目刂疲?. 防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進行適當?shù)臉俗R。對于風險評估過程中形成的記錄，還應(yīng)規(guī)定記錄的標識、儲存、保護、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。風險評估過程應(yīng)形成下列文件：1. 風險評估過程計劃：該計劃中應(yīng)闡述風險評估的范圍、目標、組織機構(gòu)、評估過程所需資源、形成的評估結(jié)果。2. 風險評估程序：程序中應(yīng)明確評估的目的、職責、過程、相關(guān)的文件要求，并且準備評估階段需要的表格，如信息資產(chǎn)識別與評估表。3. 信息資產(chǎn)識別清單：根據(jù)在風險評估程序文件中規(guī)定的資產(chǎn)分類方法進行資產(chǎn)的識別，并形成信息資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的負責人/部門。4. 威脅參考列表：應(yīng)根據(jù)評估對象、環(huán)境等因素，形成威脅的分類方法及具體的威脅列表，為風險評估提供支持。5. 脆弱性參考列表：應(yīng)針對不同分類的評估對象自身的弱點，形成脆弱性參考列表，為風險評估提供支持。6. 風險評估記錄：根據(jù)組織的風險評估程序文件，記錄對重要信息資產(chǎn)的風險評估過程，包括脆弱性、威脅的賦值，已有安全控制措施的確認，風險值的計算與等級劃分。7. 風險評估報告：風險評估報告應(yīng)對整個風險評估過程進行總結(jié)，說明組織的風險狀況及殘余風險狀況，通過管理層的評審，確定評估后的風險狀況滿足業(yè)務(wù)發(fā)展及其他相關(guān)方的要求。上述文件均應(yīng)由運維中心管理層批準。336 風險管理過程通過風險評估對風險進行識別與估價后，引入合適的控制措施，對風險實施管理，把風險降低到運維中心可以接受的程度，對風險的管理過程如下圖所示： 安 全 控 制 措 施 的 識 別 與 選 擇接 受 風 險降 低 風 險風 險 評 估 過 程圖 61 風險管理過程 安全控制的識別與選擇選擇安全控制的另一個重要方面就是費用因素，如果實施與維護這些控制的費用比資產(chǎn)遭受威脅所造成的損失的預(yù)期值還要高，那么所選擇的控制是不適合的；如果控制費用比組織計劃的安全預(yù)算要高，也是不適當?shù)?。但如果由于預(yù)算不足使控制的數(shù)據(jù)與質(zhì)量下降，就會使系統(tǒng)產(chǎn)生不必要的風險，對此要特別注意。安全控制預(yù)算應(yīng)該作為一個限制性的因素加以考慮。同樣，也可以對現(xiàn)有的控制進行費用比較，如果現(xiàn)有控制不是充分有效，就要考慮取消或改進。根據(jù) ISO27001 的要求，運維中心在以下領(lǐng)域引入控制措施：1. 安全政策2. 信息安全的組織3. 資產(chǎn)管理4. 人力資源安全5. 物理與環(huán)境安全6. 通訊與操作管理7. 訪問控制8. 信息系統(tǒng)獲取、開發(fā)及維護349. 信息安全事故管理10. 業(yè)務(wù)連續(xù)性管理11. 符合性控制的選擇要考慮非技術(shù)性的控制與技術(shù)性的控制之間的平衡，兩種控制之間是互相支持與互補的。運營管理包括物理、人員、行政管理等方面安全的控制。當選擇安全控制措施進行實施時的考慮因素：1. 控制的易用性2. 用戶的透明度3. 為用戶提供幫助，以發(fā)揮他們的績效4. 控制的相對強度5. 實現(xiàn)的功能類型—預(yù)防、威懾、探測、恢復(fù)、糾正、監(jiān)控和安全意識教育一般來說，一個控制可以實現(xiàn)多個功能，實現(xiàn)得越多越好。在考慮總體安全性或應(yīng)用一系列控制的時候，應(yīng)盡可能保持各種功能之間的平衡，這有助于總體安全獲得較好的效果與較高的效率。為了實現(xiàn)組織的安全需求，有必要認清引起風險的原因：信息資產(chǎn)的脆弱性及面臨的威脅，這些原因可以通過風險評估過程而確定。 降低風險為了識別風險，要綜合考慮威脅、脆弱性及其他風險評估的結(jié)果；一旦風險被識別出來后，下一步要做的工作就是選擇控制措施減少風險，即通過以下途徑達到降低風險的目的：1. 避免風險：例如將重要的計算機系統(tǒng)與 Inter 隔離，免受外部網(wǎng)絡(luò)的攻擊。2. 轉(zhuǎn)移風險：例如通過購買商業(yè)保險將風險進行轉(zhuǎn)移，或?qū)⒏唢L險的信息處理業(yè)務(wù)外包給第三方。3. 減少威脅：例如通過安裝防病毒軟件，防止系統(tǒng)受病毒感染。4. 減少脆弱性：例如系統(tǒng)經(jīng)常性地安裝補丁包，修補系統(tǒng)漏洞，以防止系統(tǒng)脆弱性被利用。5. 減少可能的影響：例如建立業(yè)務(wù)持續(xù)性計劃，把災(zāi)難造成的損失降到最35低。6. 檢測意外事件，響應(yīng)，并恢復(fù)：例如使用網(wǎng)絡(luò)管理系統(tǒng)，網(wǎng)絡(luò)性能與故障進行監(jiān)測，及時發(fā)現(xiàn)出現(xiàn)的問題。選擇哪一種減少風險的方式，要根據(jù)運營的具體業(yè)務(wù)環(huán)境與條件來決定，為減少風險所選的控制要與特定的業(yè)務(wù)要求相匹配，而且要對所選的控制進行充分的評估。 接受風險運維中心在實施所選擇的控制措施后，始終存在殘留風險，這是因為信息系統(tǒng)不可能是絕對安全的，甚至有些殘留風險是企業(yè)有意對某些資產(chǎn)沒有進行保護而造成的，這是由于風險較低或要實施安全控制的成本太高。風險接受是一個對殘留風險進行確認和評價的過程。在安全控制實施后，運維中心需要對己實施的安全控制進行評審，即對所選擇的控制措施在多大程度上降低了風險做出判斷，并根據(jù)殘留風險的大小，將殘留風險分為“可接受的”或“不可接受”的風險。對于無法接受的風險，不應(yīng)該容忍，而應(yīng)該考慮增加控制以降低風險。對于每一個無法接受的風險，必須做出業(yè)務(wù)決策以判斷是否接受這個風險，或者增加控制費用將風險降到一個可以接受的水平。運維中心針對評估結(jié)果中不可接受的風險制定風險處理計劃，選擇適當?shù)目刂颇繕思翱刂拼胧?，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇控制的有效。運維中心在完成了風險評估、降低風險與接受風險的風險管理過程后，可以將風險控制在一個可以接受的水平，但這并不意識著風險評估工作的結(jié)束。事實上，隨著時間的推移，由于運維中心的業(yè)務(wù)環(huán)境在不斷變化，新的威脅與脆弱性也在不斷增加，組織由于業(yè)務(wù)要求可能要增加新的信息處理設(shè)施，有關(guān)信息的法律法規(guī)也在變化，所以，風險也是隨時間而變化的，風險管理是動態(tài)的、持續(xù)改進的過程，組織需要進行動態(tài)的風險評估與風險管理。特別是在以下情況發(fā)生時，來進行臨時的風險評估，以便及時識別風險并進行有效控制：1. 當新增信息資產(chǎn)時；2. 當信息系統(tǒng)發(fā)生重大變更時；3. 發(fā)生嚴重信息安全事故時；4. 企業(yè)認為有必要時。36 風險管理要求1. 風險評估和管理要至少每年進行一次。 2. 信息安全主管要：1) 指定具備風險評估和管理方法的知識的某一獨立方(風險評估員)進行風險評估。2) 與風險評估員合作確定需要參與風險評估的工作組。3) 按照安全關(guān)切和對風險評估員的業(yè)務(wù)流程的重要程度商定風險評估的范圍。4) 與風險評估員商定風險可能性和風險影響程度并從有關(guān)的工作組獲取輸入。3. 風險評估和風險管理會產(chǎn)生以下項目:1) 風險評估報告： ? 記錄評估過程中包括的資產(chǎn)、環(huán)境和組織? 參與風險評估的各方 ? 風險情形的優(yōu)先順序表 2) 對于風險評估報告中確定為「極高」或「高」類別(合稱「高風險」)的風險類別，需要編定風險管理報告記錄建議的風險化解措施，例如：? 增加新的安全控制措施 ? 變更現(xiàn)有的安全控制措施 ? 增加新的控制目標、控制措施、過程和程序? 資源的調(diào)配安排 4. 信息安全主管應(yīng)在信息安全管理工作小組會議上出具風險評估報告。5. 信息安全管理工作小組應(yīng)： 1) 審議風險評估報告和建議的風險化解措施。2) 決定采用哪種風險化解措施。3) 發(fā)起 ISMS 評審并將建議的變更記入信息安全體系審核表格。6. 信息安全主管應(yīng)適當執(zhí)行變更并關(guān)閉信息安全體系審核表格。7 相關(guān)文件無。3