【正文】 全風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)評(píng)估完成之后的另一項(xiàng)重要工作 ? 風(fēng)險(xiǎn)控制任務(wù) ：對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論及建議中的各項(xiàng)安全措施進(jìn)行分析評(píng)估，確定優(yōu)先級(jí)以及具體實(shí)施的步驟。 組合評(píng)估 ? 組合評(píng)估要求首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，依據(jù)各信息資產(chǎn)的實(shí)際價(jià)值和可能面臨的風(fēng)險(xiǎn)，劃分出 不同的評(píng)估范圍 ，對(duì)于具有較高重要性的資產(chǎn)部分采取 詳細(xì)風(fēng)險(xiǎn)評(píng)估 ，而其它部分采用 基線風(fēng)險(xiǎn)評(píng)估 。 詳細(xì)評(píng)估 Detailed Assessment ? 指組織對(duì)信息資產(chǎn)進(jìn)行 詳細(xì)識(shí)別和評(píng)價(jià) ，對(duì)可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行 充分地評(píng)估 ，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來確定安全需求及控制方案。 ?缺點(diǎn) ： ? 基線水準(zhǔn)的高低難以設(shè)定，過高導(dǎo)致資源浪費(fèi)和限制過度，過低可能難以達(dá)到所需的安全要求。 ? 選擇安全基線 ? 基線評(píng)估（ Baseline Assessment） : 基本風(fēng)險(xiǎn)評(píng)估 ?優(yōu)點(diǎn) ： ? 需要的資源少、周期短、操作簡(jiǎn)單，是經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。 常見的風(fēng)險(xiǎn)評(píng)估方法 ? 基線評(píng)估（ Baseline Assessment） : 基本風(fēng)險(xiǎn)評(píng)估 ? 就是有關(guān)組織根據(jù)其實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對(duì)信息系統(tǒng)進(jìn)行安全基線檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，計(jì)算之間的差距），得出基本的安全需求，給出風(fēng)險(xiǎn)控制方案。 )()(),( iiiiii TFTPVTAR ??)()(),(11iniinii TFTPVTARR ??? ????總因?yàn)榇嬖谕{ Ti而使資產(chǎn) Ai具有的風(fēng)險(xiǎn)， Ti為針對(duì)資產(chǎn) Ai的脆弱性 Vi的威脅 威脅 Ti發(fā)生的概率 威脅 Ti發(fā)生時(shí)的破壞程度 風(fēng)險(xiǎn)評(píng)估的任務(wù) ① 識(shí)別組織面臨的各種風(fēng)險(xiǎn)，了解總體的安全狀況； ② 分析計(jì)算風(fēng)險(xiǎn)概率，預(yù)估可能帶來的負(fù)面影響； ③ 評(píng)價(jià)組織承受風(fēng)險(xiǎn)的能力，確定各項(xiàng)安全建設(shè)的優(yōu)先等級(jí)； ④ 推薦風(fēng)險(xiǎn)控制策略，為安全需求提供依據(jù)。 ? 安全控制： 是指用于消除或減低安全風(fēng)險(xiǎn)所采取的某種安全行為，包括措施、程序及機(jī)制等。 ? 威脅： 主要指可能導(dǎo)致資產(chǎn)或組織受到損害的安全事件的潛在因素。 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估主要包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià) ?風(fēng)險(xiǎn)分析： 全面地識(shí)別風(fēng)險(xiǎn)來源及類型； ?風(fēng)險(xiǎn)評(píng)價(jià)： 依據(jù)風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平 ,確定風(fēng)險(xiǎn)的嚴(yán)重性。 ? 其核心內(nèi)容包括 風(fēng)險(xiǎn)評(píng)估 和 風(fēng)險(xiǎn)控制 兩個(gè)部分。 ? 信息安全道德規(guī)范的 基本出發(fā)點(diǎn) ? 一切個(gè)人信息行為必須服從于信息社會(huì)的整體利益，即個(gè)體利益服從整體利益； ? 對(duì)于運(yùn)營(yíng)商來說，信息網(wǎng)絡(luò)的規(guī)劃和運(yùn)行應(yīng)以服務(wù)于社會(huì)成員整體為目的。 道德規(guī)范 ? 道德規(guī)范也是信息領(lǐng)域從業(yè)人員及廣大用戶應(yīng)該遵守的。 立法現(xiàn)狀 ? 根據(jù)英國(guó)學(xué)者巴雷特的歸納，各國(guó)對(duì)計(jì)算機(jī)犯罪的立法，主要采取了兩種方案 ? 一種是制定計(jì)算機(jī)犯罪的 專項(xiàng)立法 ，如美國(guó)、英國(guó)等； ? 一種是通過修訂法典， 增加規(guī)定 有關(guān)計(jì)算機(jī)犯罪的內(nèi)容，如法國(guó)、俄羅斯等。 ? 除了有關(guān)的組織部門自己制定的相關(guān)規(guī)章制度之外，國(guó)家的有關(guān)信息安全法律法規(guī)更是有關(guān)人員需要遵守的。 制度法規(guī)管理 ? 指宣傳國(guó)家及各部門制定的相關(guān)制度法規(guī)，并監(jiān)督有關(guān)人員是否遵守這些制度法規(guī)。 ? 技術(shù)與工程標(biāo)準(zhǔn) ：由標(biāo)準(zhǔn)化組織制定的用于規(guī)范信息安全產(chǎn)品、技術(shù)和工程的標(biāo)準(zhǔn)，如信息產(chǎn)品通用評(píng)測(cè)準(zhǔn)則、安全系統(tǒng)工程能力成熟度模型等。 ? 國(guó)際標(biāo)準(zhǔn)可以分為 互操作標(biāo)準(zhǔn) 、 技術(shù)與工程標(biāo)準(zhǔn) 、 信息安全管理與控制標(biāo)準(zhǔn) 三類。 ? 風(fēng)險(xiǎn)評(píng)估管理： 在信息安全管理體系的各環(huán)節(jié)中，合理地利用風(fēng)險(xiǎn)評(píng)估技術(shù)對(duì)信息系統(tǒng)及資產(chǎn)進(jìn)行安全性分析及風(fēng)險(xiǎn)管理，為規(guī)劃設(shè)計(jì)完善信息安全解決方案提供基礎(chǔ)資料，屬于信息安全管理體系的 規(guī)劃環(huán)節(jié) 。 信息安全管理體系的架構(gòu) 信息安全管理體系的目的和特點(diǎn) 信息安全管理涉及的領(lǐng)域 A 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)估 （ Risk Assessment）是指對(duì)信息資產(chǎn)所 面臨的威脅 、 存在的弱點(diǎn) 、可能導(dǎo)致的 安全事件 以及三者 綜合作用 所帶來的風(fēng)險(xiǎn)進(jìn)行評(píng)估。 ? 在信息安全管理體系的各環(huán)節(jié)中，安全需求是 前提 ，運(yùn)作實(shí)施、監(jiān)視評(píng)審和維護(hù)改進(jìn)是 重要步驟 ，而可管理的信息安全是 最終的目標(biāo) 。 PDCA模型 國(guó)際標(biāo)準(zhǔn)化組織 (ISO)和國(guó)際電工學(xué)會(huì) (IEC)聯(lián)合將相關(guān)工作轉(zhuǎn)化為ISMS國(guó)際標(biāo)準(zhǔn) (ISO/IEC 27001:2022) ISMS— 信息安全管理體系 ? ISMS是一個(gè) 系統(tǒng)化、過程化 的管理體系，體系的建立需要全面、系統(tǒng)、科學(xué)的風(fēng)險(xiǎn)評(píng)估、制度保證和有效監(jiān)督機(jī)制。 實(shí)施 ：具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容 檢查 ：監(jiān)視評(píng)審解決方案的有效性，發(fā)現(xiàn)問題在下一個(gè)階段予以解決。 管理學(xué)中的一個(gè)通用模型，被廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程中，是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。 ? 管理在信息安全中的重要性高于安全技術(shù)層面，“ 三分技術(shù)，七分管理 ”的理念在業(yè)界中已經(jīng)得到共識(shí)。第 10章 信息安全管理 主要內(nèi)容 概述 信息安全風(fēng)險(xiǎn)管理 (風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制 ) 信息安全標(biāo)準(zhǔn) (CC標(biāo)準(zhǔn)、 BS7799標(biāo)準(zhǔn) ) 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當(dāng)今社會(huì)已經(jīng)進(jìn)入到信息化社會(huì)，其信息安全是建立在信息社會(huì)的基礎(chǔ)設(shè)施及信息服務(wù)系統(tǒng)之間的互聯(lián)、互通、互操作意義上的安全需求上。 ? 安全需求 可以分為 安全技術(shù)需求 和 安全管理需求兩個(gè)方面。 絡(luò) 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS是從管理學(xué)慣用的 過程模型PDCA（ Plan、 Do、 Check、 Act）發(fā)展演化而來。 規(guī)劃 ：通過風(fēng)險(xiǎn)評(píng)估了解安全需求，根據(jù)需求制定解決方案。 處置 ：對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，沒有解決的問題，應(yīng)提給下一個(gè)PDCA循環(huán)中去解決。 ? ISMS應(yīng)該體現(xiàn) 預(yù)防控制 為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過程的動(dòng)態(tài)調(diào)整，從而確保整個(gè)安全體系在有效管理控制下，不斷改進(jìn)完善以適應(yīng)新的安全需求。 ? 在各環(huán)節(jié)中，風(fēng)險(xiǎn)評(píng)估管理、標(biāo)準(zhǔn)規(guī)范管理以及制度法規(guī)管理這三項(xiàng)工作直接影到響整個(gè)信息安全管理體系是否能夠有效實(shí)行。 ? 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要手段。 標(biāo)準(zhǔn)規(guī)范管理 ? 在規(guī)劃實(shí)施信息安全解決方案時(shí)，各項(xiàng)工作遵循國(guó)際或國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，有完善的檢查機(jī)制。 ? 互操作標(biāo)準(zhǔn) ：非標(biāo)準(zhǔn)組織研發(fā)的算法和協(xié)議經(jīng)過自發(fā)的選擇過程，成為了所謂的事實(shí)標(biāo)準(zhǔn)，如 AES、 RSA、