ISO 27001解读（二）风险评估

信息安全风险评估

定义

一个特定的威胁利用一个或一组信息资产技术或管理中的弱点导致资产(或业务)损失或者破坏的潜在可能性。利用既定的方法，对组织的信息资产所面临的信息安全风险，系统地进行分析和评价的整个过程。

相关术语

1）威胁：是潜在的能导致信息安全风险事件并对组织及其资产造成损害的活动。它可以通过IT系统或者服务，直接或间接地作用于信息系统，并导致非授权破坏、泄露、 修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害，它可能来自人为的或非人为的、可能是故意或无意的、可能是来自环境的威胁。

2）脆弱性：是资产在与其相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最有可能被威胁利用并造成对组织信息系统和业务目标的损害。

3）风险：是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。它是由风险事件发生的可能性和它的影响来决定。任何资产、威胁、脆弱性和安全防护措施的变化都能对风险产生重要的影响。及时检测或确定信息系统及其环境的变化，采取适当的措施，可以降低风险。

4）影响：是风险事件发生，对资产造成的后果，使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。

5）安全防护措施：是抵抗威胁、减少脆弱性、限制风险事件影响、检测风险事件和恢复的安全实践、策略和机制。有效的安全是在资产的多个层面提供安全防护措施，来预防、阻止、检测、限制、纠正、恢复、监视安全事件。

6）残留风险：风险不可能完全消除，有些风险由于安全成本问题，在满足组织安全需求的前提下，成为残余的风险。

风险评估流程

风险识别->风险分析->风险评价

风险识别：目的是确定可能发生什么导致潜在的损失，并了解如何、在何处以及为什么可能发生损失。风险识别包括：识别资产、威胁、脆弱性等。

风险分析：使用定性或定量的方法进行分析，包括风险发生的可能性，风险的水平，后果等。

风险评价：根据风险分析的结果与公司的风险接受准则进行对比，确定风险的处置方式。

风险测量的方法

定性风险分析主要是依据人的经验和直觉进行风险评估，其风险结果一般为高中低。

定量风险分析主要通过公式：风险值=资产价值威胁弱点得到一个具体的数字，通过数字来进行风险分析。

定量分析更加客观(因为对于资产等级，威胁，弱点的等级评定的存在主观成分)。信息量与计算量较大，操作较繁琐，成本较高。而定性分析是非常依赖风险评估人员的经验和直觉，但是操作简单，成本较低，但缺少客观数据的支撑。

风险处置的策略

风险处理的策略包括：风险接受、风险保留、风险规避、风险转移。

风险接受：使用预防、检测、纠正、恢复、根除等手段进行变更控制。

风险保留：风险的评估结果在企业的可接受范围以内，不做任何措施出来。

风险规避：由于处理风险的成本过高，或风险难以解决，所以规避此类风险活动。

风险转移：利用保险公司、托管商等第三方中介机构，减少风险造成的损失。

风险接受

风险接受:批准并持续跟踪

在风险处置后，组织需做出是否接受剩余风险的决定，由负责的管理者审查和批准。作为

结果，组织应列出接受风险，并对不符合组织正常风险接受标准的风险进行说明。

沟通与协商:

信息安全风险需要在风险责任人和相关方之间进行沟通。这种信息安全风险沟通应为风险

管理成果提供保障、分享风险评估结果、支持决策和提升意识。组织应为正常和紧急情况

编制风险沟通计划。持续理解组织的信息安全风险管理过程及其结果才能得到这些成果。

风险持续监控与再评估

风险因素的监督和评审

由于风险会因为脆弱性、可能性或后果的变化而改变，所以组织需要持续监测。特别是，组织需要确保监测。

风险管理的监督和审查以及改进

为了确保环境、风险评估结果、风险处理和管理计划保持相关和适宜于特定情况，有必要对信息安全风险管理不间断地监督和评审。