活动和过程

信息安全管理的活动主要包括：

·制定、回顾和修订信息安全策略

·发布和实施信息安全策略

·对各类信息资产和文档进行评估和分类

·执行、回顾、修订和改进安全控制、风险评估和响应

·监控和管理安全违规行为和安全事件

·分析、报告和缩小因安全违规和安全事件导致的影响

·定期实施信息安全的回顾、审计、渗透测试

    信息安全的管理流程，包括方法、工具和技术，构成了信息安全策略。安全管理者应该确保技术、产品和服务是适当的，相关的安全策略被制定并正式发布。安全管理者还应考虑安全架构、认证、授权、管理和恢复。

    信息安全策略应考虑将安全最佳实践应用到所有的业务领域，避免因为木桶原理出现一些安全薄弱的环节导致全盘皆输，而要将信息安全策略应用到所有的业务领域，必须充分重视员工、用户等的安全意识、技术、流程的全面培训，因为通常终端用户是安全中最脆弱的一环。同时，在方法和过程开发时应注意容易执行和落实，避免成为空中楼阁。在新技术和产品的开发中应确保有一部分资源投入在安全方面，以确保其对安全策略的支持。下面将对信息安全管理流程中的风险评估和信息安全控制两项活动进行详细介绍。

1.信息安全风险评估

    信息安全风险评估二般包括以下五个阶段：启动、资产识别与分类、风险识别

与评价、风险处置与报告、实施。

(1)启动阶段

制定风险评估计划，具体内容可以参考下述模型：

1.目标

    开展风险评估活动的目的，期望得到的输出结果，关键的约束条件包括时间、成本、技术、策略、资源等方面。

2.范围和边界

    既定的风险评估可能只针对组织全部资产(包括其弱点、威胁事件和威胁源等)的一个子集，评估范围必须首先明确。例如，评估范围也许只是确定某项特定资产的凤险，或者与一种新型攻击或威胁源相关的风险。此外，必须定义风险评估的物理边界和逻辑边界。

3.系统描述

    进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识，必须识别评估边界内所有的系统。

4.角色和责任

    组织应该成立一个专门的风险评估小组，小组应该包括具有安全评估经验和熟悉组织运作情况的成员，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表，如果需要，还应该聘请外部的风险评估专家来参与项目。

5.风险评估行动计划

    确定风险评估的途径和方法，计划评估步骤。

6.风险接受标准

    事先明确组织能够接受的风险的水平或者等级。

7.风险评估适用表格

    为风险评估过程拟订标准化的表格、模板、问卷等材料。

    制定风险评估计划之后，组织首先要为正式实施风险评估做准备。准备阶段的主妻工作就是通过多种途径去采集信息，包括：人员访谈、调査问卷、文件审核(包

括政策法规、安全策略、设计文档、操作指南、审计记录等)、以前的审计和评估结果、现场勘查等。通过以上途径采集的信息，可以供风险评估各个阶段的活动分析使用，包括资产识别与评价、威胁评估、弱点评估等。

（2）资产识别与分类

    组织信息安全风险识别的基础是资产识别。在这一阶段二定要防止资产遗漏，资产遗漏就必然会导致风险的遗漏。因此必须对风险评估范围内的每一项资产都进

行识别，并形成完整的信息资产清单。对信息资产清单中的每一项资产，组织都应依据其重要性或敏感度，进行保密性、完整性和可用性的赋值。赋值就需要开发信

息资产的划分等级标准。

（3）风险识别与评价

 · 识别并评价威胁：在完成资产的识别之后，接下来组织应该根据资产当前的情况和历史记录来识别每项资产可能面临的风险，首先应该评估每项资产可

    能面临的威胁。威胁通常包括以下四种类型——

    人员威胁：包括故意破坏和无意失误。

    系统威胁：系统、网络或服务的故障。

    环境威胁：电源故障、火灾等。

    自然威胁：地震、台风、洪水、雷电等。

    一项资产可能面临以上一种威胁或是一种以上威胁的组合。例如网络设备可能发生硬件故障而受到系统威胁，可能因为雷击受到自然威胁，可能因为网络攻击而

受到人员威胁，也可能因为电源故障而受到环境威胁。因此在识别任何资产可能面临的威胁时，必须评估威胁发生的可能性。

 · 识别并评估弱点：在确定资产的风险之前，还需要对资产的弱点进行评估。

    如果存在威胁的可能性，而资产具备抵御这种威胁的能力，也就不存在风险，

    因此，识别出哪些资产存在弱点才能真正确定资产的风险。常见的弱点有如下

    三类——

    技术性弱点：系统工程序、设备中存在的漏洞或缺陷。

操作性弱点：软件和系统在配置、操作、使用中的缺陷，包括人员日常工作中的

不良习惯，审计或备份的缺乏。

    管理性弱点：策略工程序、规章制度、人员意识、组织结构等方面的不足。

资产的弱点是可以通过各种方法获取的，例如内外部审计、系统测试、事件或问题报告等。

 · 计算风险值确定风险等级：当资产价值、威胁可能性和弱点严重性识别以后，

    存在的风险就可以大致估算。通过度量并评价组织信息安全管理范围内每一

    项信息资产遭受泄漏、修改、破坏所造成影响的风险水平，确定风险等级后，

    组织就可以有重点有顺序地选择应对措施，并最终消减风险。

下面为信息安全的计算公式：

风险值=资产价值【MAX(C,L,A)】X威胁可能性(T)X弱点严重性(V)

计算得出的风险值可能属于某个等级的风险。 

    (4)风险处置与报告

    风险识别与评价完成后，应对结果进行综合分析和确认，根据风险可接受水平，确定需要处理的风险和需要接受的风险。风险接受的标准通常为：对于“非常高”和“高”等级的风险，需要进行控制，列入风险处置计划；对于“中”级别的风险，可经过讨论之后决定是否接受，不可接受的风险列入处置计划；对于“低”级别的风险，作为可接受的风险，不作进一步处理。风险评估者应该提供详细的评估报告，报告内容包括：概述、评估结果以及最终的风险评价等级、推荐安全控制措施、提出建议性的解决方案。

    (5)实施

    风险评估报告完成后，在组织决定采取安全措施之前，首先要明确自己的风险

消减策略，也就是应对各种风险的途径和决策方式，通常有以下四种应对风险的方法：

    · 降低风险(reducerisk)：可以针对不同的威胁、不同的弱点采取各种有效手段，

       将风险降低到可接受的程度。例如针对一些系统威胁可以采取一些定时维护

       或监控的方法减少风险出现的几率、降低恢复时间，从而降低风险。

    · 规避风险(avoidrisk)：通过舍弃一些无足轻重的业务或者操作便利性直接规

       避风险。这一点就是要权衡风险和业务的重要性，避免使用一些收益低而风

       险高的资产。

    · 转嫁风险(transferrisk)：将风险全部或者部分地转移到其他责任方，例如外

       包服务、商业保险等。

    · 接受风险(acceptrisk)：对于影响较小的风险、残留风险，组织可以选择接受。

       当然，对于一些短期内难以找到应对措施或者应对措施相对风险过于昂贵的

       情况，组织可能也只能暂时接受。

    由于不同的风险造成的危害也不同，组织在处理这些潜在的风险时，可以优先处理些可能导致严重后果、甚至影响组织生存的风险。在选定消减风险的策略之后，组织应选择相应的安全控制措施，并制定一个详细的安全计划，用来指导安全措施的实施。

    2.信息安全控制

    信息安全管理在系统和服务的生命周期中不是一个步骤，也不是仅通过技术手段就能解决的，信息安全管理是服务和系统的一个重要组成部分，在服务的过程中需要通过一系列安全控制确保服务的连续性。

    安全控制的设计应考虑安全策略的落实，并将已经识别的风险控制在最小化范围。控制措施的选择遵循成本收益的原则，为现有服务或新服务提供持续保障并符合现有的安全策略。

    安全测量用于防止和处理信息安全事件，’安全事件并非由技术威胁引发，统计数据显示，多数安全事件是由于人员或流程失误导致。

    风险通常由于威胁所引起，威胁可以是引起业务中断或导致负面影响的任何事情。当威胁被利用了，我们通常就认为发生了安全事件。信息安全事件可能导致资产或信息受到损害，我们只能修复和纠正。在不同的阶段对度量方法的选择依赖于信息资产的重要程度。

    (1)预防

    安全测量通常可以阻止安全事件的发生，最好的预防措施是分配访问控制权限给相关人员，控制访问权限(授予、维护和回收用户权限)，认证(识别谁、使用什么工具访问了信息系统) ，授权(批准可以访问信息)，访问控制(确保只有授权的人能获得访问权限)

    (2)减少

    测量是为了缩小损害发生的可能，减少测量的例子包括数据备份和业务连续性计划的维护。

   (3)检测

    假设有安全事件发生，最重要的就是安全事件能尽快地被检测到，这就需要考虑设置监控报警系统。比如病毒防护软件。

   (4)抑制

    阻止安全事件的蔓延和复制，比如当多次的失败登陆记录或令牌pin码的多次尝试登陆失败时，可以进行账号或IP地址的禁止。

    (5)纠正

    损害应该通过纠正促使尽快地修复。比如，备份数据恢复到系统、通过回退方案返回到正常状态也是修复的有效方式。