CISA参考资料之AS/NZS 4360:1999
发布时间:2012年01月13日|
作者:佚名|
来源:<a href='http://v.iaudit.cn/ShowCopyFrom.asp?ChannelID=1024&SourceName=中审论坛'>中审论坛</a>|
点击数:
|字体: 小 | 默认 | 大
随着信息技术应用的飞速发展、因特网应用的不断普及、电子商务活动的开展以及全球经济一体化的进展,计算机网络化、规模化的发展趋势,使计算机信息系统安全面临着新的问题和巨大的挑战。信息系统由网络、主机系统和应用等要素组成,其中每个要素都存在着各种可被攻击的漏洞。网络线路有被窃听的危险;网络连接设备、操作系统和应用系统所依赖的各种软件在系统设计、协议设计、系统实现以及配置等各个环节都存在大量的安全弱点和漏洞,有被利用和攻击危险。每天都有新的安全漏洞在网上公布,每天都有系统受到攻击和入侵,每天都有计算机犯罪的报道,每天都有人出于好奇或其他目的加入到网络黑客的行列中。而且攻击者的手段也越来越多,面对一个复杂性日益增长的网络环境进行安全需求分析,动态地、发展地认识安全隐患和威胁是安全需求分析的重要前提。
信息安全风险管理是对信息的安全风险进行识别、分析、评价,并在此基础上有效地处置风险,以最低的代价实现最大可能信息安全保障的系统科学管理方法。随着业界对于信息安全问题问题认识的不断深入,随着信息安全体系的不断实践,越来越发现信息安全问题最终都归结为一个风险管理问题。
AS/NZS 4360:1999是澳大利亚和新西兰联合开发的风险管理标准,第一版于1995年发布。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。
AS/NZS 4360:1999的基本概念
在AS/NZS 4360:1999中定义了如下的基本概念:
后果:指安全事件在质量或数量上因受到损失、损害而表现出来的结果。它可描述为安全事件可能出现结果的范围。
可能性:定性描述安全事件发生的概率或频率。
风险:对目标有所影响的某个安全事件发生的可能性。它根据后果和可能性来度量。
剩余风险:在经过一系列安全控制和安全措施之后,存在的风险称为剩余风险。
接受风险:接受特定风险的后果和可能性。
风险识别:分析什么安全事件发生了、怎样发生以及发生原因的过程。
风险分析:利用可用信息来决定某一安全事件发生频率和产生后果范围的系统分析方法。
风险评价:通过把需要评价的风险与预先确定的标准、目标风险级别或其它准则作比较,来确定风险管理的优先级。
风险评估:风险分析和风险评估的全过程。
风险控制:采用策略、标准、程序和物理措施来消除或降低风险的方法,它是风险管理的一部分。
降低风险:采用技术和管理措施来降低风险发生的可能性或后果。
风险处置:选取适当的方法对风险进行处理。
AS/NZS 4360:1999的风险管理流程
在AS/NZS 4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。下图为风险管理流程。
风险管理流程
1. 建立环境
建立环境是风险管理的第一步,它提供了风险评估的环境。这一步的主要任务如下:
‥ 确定风险管理的策略、目标、范围、管理小组及职责等。
‥ 分析识别风险影响者。风险影响者包括企业内部的雇员、管理者、志愿者等、企业
外部的商业伙伴、保密机构、政府机构、环境组织、消费者、新闻媒体等。
‥ 开发风险评价准则。内容包括风险承受能力和风险处置方式,受技术、经济、法律、
社会、可操作性等因素的影响,它们依赖于企业的风险管理策略、目标等。尽管风险评价准则在建立风险管理环境时开发,但它们可以在风险识别和风险分析方法选定进一步开发和提炼。
‥ 定义风险识别过程中的关键元素。把信息安全项目在逻辑结构上分解成一系列的元
素,对每一个元素进行风险分析就比较容易了。在信息安全项目分解时一定要全面,要包含所有的重要问题,以保证重大风险不被忽略。
2. 风险识别
对第一步定义的每一关键元素都要系统地检查,以识别什么发生了(产生全面的安全事件列表)和它们是怎样发生的(找出安全事件发生的原因)。
风险识别的方法有组内讨论、使用检查列表、人工经验和以往相似项目的记录、调查问卷、系统工程分析等。组内讨论是最有效的风险识别方法,可以充分利用讨论组内每位成员的创造力并关注新出现的问题;检查列表易于使用,但只能检查出列表上的风险,这就需要经常更新检查列表。通常这些方法可以结合起来使用。
3. 风险分析
风险分析的目的是分离可接受的小风险和不能接受的大风险,为风险评价和处理提供数据。风险分析包括安全事件的后果、后果发生的可能性以及它们的影响因子,还包括对现有的管理、技术措施进行安全分析。
风险分析的方法有定性分析、半定量分析和定量分析。定性分析法是最常用的方法。我们下面减数风险的定性分析法。可能性表示安全事件发生的概率,可分为不常发生(Rare)、不太可能发生(Unlikely)、可能发生(Possible)、很可能发生(Likely)和几乎肯定发生(Almost certain)五种情况,后果可以根据对性能、代价及进度等关键因素的潜在影响来考虑,在程度上可分为可忽略(Insignificant)、小(Minor)、中等(moderate)、大(Major)及灾难(Catastrophic)五种。风险可以通过下表计算。
定性风险分析矩阵——风险分级
表注:
E(Extreme risk):极大风险,需要立即处置。
H(High risk):高风险,应引起高层管理者的注意。
M(Moderate risk):中等风险,需指定专人负责管理。
L(Low risk):低风险,常规管理即可。
4. 风险评价
风险评价是把第三步分析出来的风险与第一步开发的风险评价准则进行比较,以判断特定的风险是否可接受或需要采取其它措施处置。风险评价的结果为具有不同等级的风险列表。如果风险为低风险或可接受的风险,则可以进行最小程度的处理,但应该对低风险和可接受的风险进行监控及定期检查,以保证这些风险仍然是可接受的;如果风险不是低风险和可接受的风险,则要采取降低风险或转嫁风险等风险处置措施。在评价风险时需综合考虑风险管理的目标、风险管理的代价或不对风险进行处置所带来的后果等问题。
5. 风险处置
风险处置的目的为对识别出来的风险采取什么措施以及谁负责进行处理。风险处置需要根据可行性、代价、风险管理的目标 最恰当、最实际的方法,来把风险降低到可容忍的程度。风险处置的方法有:
‥ 回避风险:消极退却。
‥ 降低风险:减小安全事件发生的可能性,降低安全事件产生的后果。
‥ 转嫁风险:责任外包或保险。
‥ 接受风险:承担风险评价准则中规定的企业能够容忍的风险。
风险处置应制定风险处置计划,包括落实责任、进度表、预算、预期的处置结果等,还应包括一种机制,用来评估实现风险处置方法的性能准则、个人责任及其它目标。
6. 风险监控与回顾
随着环境的变化及新技术的采用,原来评估的风险可能会过时,因此随着时间的推移,对上面五步输出的结果需要定期回顾。对风险连续的监控与回顾可以保证新风险的检测和管理、风险处置计划的实现、管理者和风险影响者对情况的及时了解等。有关风险的定期信息可帮助识别风险的发生趋势、可能遇到的麻烦及出现的其它变化。
风险注册数据库是监控风险的主要管理工具,数据库的字段包含风险等级列表、有关的风险处置计划、每一风险的个人责任等。对风险注册数据库必须定期更新,以保证把新出现的风险添加进去,把过时的风险从数据库中删除掉。
7. 通信和咨询
通信和咨询在风险管理过程的每一步都很重要。为企业内外的风险影响者在风险管理过程的早期开发一个通信计划非常必要,计划阐述的问题主要是对风险本身的理解及风险处置措施的选取等。有效的内外通信及咨询可以保证风险管理的顺利实施。
结束语
随着人类信息化的高速发展,信息革命和计算机在社会各个层面的引入使人类生活发生了巨大的变化。信息已成为代表一个国家综合国力的战略资源,信息安全已成为保证国民经济信息化进程健康有序发展的基础。当前,信息安全问题已经提升为国家安全战略问题。AS/NZS 4360:1999为指导,制定出符合企业自身特点的风险管理规范,推进企业的信息安全建设,从而加速整个企业的信息化建设。