基于资产的风险评估方在企业中的应用

２０１０年第２５期　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＩＮＦＯＲＭＡＴＩＯＮ　ｏ企业与管理０　科技信息　基于资产的风险评估方在企业中的应用　肖应霖　（中远资讯科技有限公司　中国　上海【摘２００１３１）　要】根据ＩＳ０２７００１标准中信息安全风险管理的要求，本文从信息资产的角度出发，建立了一套适合企业实际操作、步骤清晰、标准明　确的风险评估方。　【关键词】ＩＳ０２７００１；风险评估；风险管理；信息资产　０引言　信息是一种资产，就像其它重要的商业资产一样，它对一个组织　来说是有价值的，因此需要妥善进行保护。信息安全保护信息免受多　种威胁的攻击，保证业务连续性，将业务损失降至最小，同时最大限度　地获得投资回报和利用商业机遇。　信息安全管理实际上就是风险管理的过程，风险的识别与评估是　管理的基础，风险管理是指导和控制组织风险的过程。信息安全管理　体系就是通过对信息资产的风险评估，确定重要信息资产清单以及风　险等级，从而采取相应的控制措施来实现信息资产的安全。　１课题的提出　各企业在长期的信息化建设中中取得了巨大的成就．信息技术已　经成为支持公司业务的主要技术手段，信息安全风险随之上升到重要　高度。　为此，我们希望将风险评估与信息安全管理紧密结合在一起，将　风险作为管理实践的对象和出发点，安全管理的控制点以风险出现的　可能性作为对象而展开。我们需要一整套步骤清晰、标准明确、成功有　效的风险评估方法，以此指导和控制组织风险，从而建立持续改进的　信息安全管理体系。　２风险评估方法对企业的重要意义　一套适合公司的风险评估方法可以对信息系统进行充分有效的　风险分析和评估，评估这些风险可能带来的安全威胁与影响程度。一　些信息系统安全评估方法在识别、估算等方面没有明确的测算标准．　从而影响评估结果的客观性。如果可以制定容易测量、判断和易操作　的标准，那么在一定程度上保证了评估结果的客观性和准确性。　３信息安全风险评估方　整个安全风险评估的过程按照评估规划——信息收集——资产　确定和估值——威胁和漏洞分析——影响和可能性分析——风险建　模和分析——推荐并确定控制措施——发布年度风险评估报告——　控制措施的实施及监督这样的流程进行。　３．１评估计划　风险评估的第一步是制定评估计划。在这一阶段要　确保相关各方要充分理解与风险评估相关的各种因素。　３．２信息收集在这一阶段，将收集在风险评估的以后阶段所需要　的所有相关信息。信息收集的方式包括现场访问、使用调查问卷、检查　表和使用软件工具等。所收集的信息包括设备清单、上年度信息安全　事件事故、现有的安全控制措施等。　３．３资产确认和估值　３．３．１对信息资产进行确认并分类这一阶段要将资产划分为各个　组别．根据公司实际情况，我们考虑可以分为硬件设备类、环境支持　类、应用类、数据库类等。　３．３．２对分类的资产进行估值根据资产本身的价值以及与核心业　务的相关性，按照１，２，３（低、中、高）对资产进行估价。评定过程中主　要遵循以下定义和原则：　１）无形价值：与核心业务的关联程度高的定义为高，与核心业务　没有什么关联的定义为低，其他的为中；　２）有形价值：按照资产本身的经济价值来划分。　３）价值分值＝无形价值分值＋有形价值分值　根据这些原则，最终价值分值２—３的为低级别，４—５的为中级　别，６为高级别。　３．４威胁和漏洞分析　在评估的这一阶段，确认了可能对目标系统　和资产造成损害的威胁。同时还要确认那些使限定范围内的资产受到　威胁的漏洞。根据资产的分类参照相应的风险评估ＣＨＥＣＫ￣ＳＴ，确认　的漏洞与威胁和资产对应起来，以用于紧随其后的风险分析阶段。　３．５影响和可能性分析通过将已确认的威胁和漏洞应用于各种资　产，对可能产生的影响和威胁发生的可能性进行了评估。　由于目前公司已经实施了很多安全控制措施，因此在考虑影响和　可能性的时候要充分考虑现有的控制措施。　“可能性”通过１，２，３（低、中、高）进行判定，在此阶段必须考虑已　采取的风险规避措施，以下原则作为参考：　１一不会发生．或者发生的概率很低　２一每个月都可能发生的　３一每天或每周都可能发生的　影响性（威胁对公司造成的影响和破坏性）也通过１，２，３（低、中、　高）进行判定，为了正确考量漏洞被利用后对公司的影响，我们对威胁　的特性从保密性、完整性及可用性来考虑影响性分值。　在考虑影响性分值方面．主要遵循以下定义和原则：　１）从机密性方面考虑影响性分值：从软件类、应用类、文档类及数　据库实例等数据泄露后对公司造成的影响来考量。　２）从完整性方面考虑影响性分值：从信息资产遭到破坏而对公司　造成的影响和修复所用人天来考量。　３）从可用性方面考虑影响性分值：从资产受破坏后导致使用者的　不可用时问来考量。　４）影响性分值计算矩阵　影响性分值＝（保密性影响分值＋完整性性影响分值）×可用性影响　分值　分值２－４的为低级别，５—８的为中级别，１０—１８的为高级别。　３．６风险建模和分析在风险评估的这一阶段．要对风险进行建模　和分析，以便用更加系统的方法对其特性进行描述。使用了风险矩阵　技术，这样可以用威胁可能性、漏洞级别、资产价值和影响对风险进行　描述。　表１风险分析矩阵　资产价值　影　低　中　高　响　性　可能性　可能性　可能性　低　中　高　低　中　高　低　由　高　低　３　４　５　４　５　６　５　６　７　　Ｊ中　４　５　６　５　６　７　６　７　８　　－高　５　６　７　６　７　８　７　８　９　在该风险分析矩阵中，３—４的为低风险，５—７的为中风险，８－９的　为高风险。　３．７风险接受准则　根据风险分析结果，我们的风险接受准则如下：　对于所有高风险以及分值为７分的中风险，需要给出控制措施以降低　风险；对于低于６分（包括６分）的风险，原则上接受该风险。　３．８推荐并确定控制措施　风险评估的最后一个阶段是：确认并推　荐保护措施或控制措施，以接受、降低、转移或消除风险。在这个阶段，　评估方提出推荐的控制措施方案，并与实施方协商进行确认，最大限　度地降低风险。　所选择的安全改进措施应根据所确认的风险严重程度，给予相应　的优先考虑。在这个阶段，控制措施的选择需要考虑是否将风险分值　降到可以接受的程度。　（下转第３３６页）　２０１０年第２５期　ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹＩＮＦＯＲＭＡＴＩＯＮ　Ｏ规划与设计。　科技信息　５．１项目背景及项目概况　大片安全步行区。在此区域内师生可以安全的自由漫步，不受车辆干　茂名市第二职业技术学校是广东省重点职业技术学校。原校区面　扰，又能享受赏心悦目的山水园景，达到舒适、安全、健康的目标。　积过小，为加快茂名市职业技术教育发展。决定规划建设新校区．　５．３．４多方案比较过程　新校区位于茂南区公馆镇书房岭村委会书房岭砖厂周围ｆ桂园小区　内），基地西、北面为西城西路和西城中路，南临大面积公共绿地。基地　内部有缓坡、丘陵，水塘等，相对高差在１０米左右。　５．２建设规模　新校区总规划用地面积２４．４公顷，总建筑面积１１８５００平方米．　投资估算约２．９亿。新校区规模为全日制学生１００００人。　５－３最初总体规划设计构思　５．３．１　现代高效化的校园　现代化的大学应适应社会的高速发展和信息的快速增长，其教学　活动应该是高效率的。校园内的各项完善的网络、各功能组团之间联　系快速和便捷，为高效率运作的教学活动和教学改革、科研创新提供　了保证。　本方案设置了一条完整的车行交通环路，实训区和教学行政办公　用房、图书馆都位于环道之内，环道之外则为学生生活区、文体活动　区，并以次要车行环路或尽端路与主环路相联系，功能分区明确，通过　主环路可以快速到达各功能区域。　教学行政区、实训区和学生生活区紧邻布置，令１３常最频密的上、　下课步行路程达至最短、最省时，保证了上课的步行时间控制在５～７　５．３．５最终的实施方案　分钟，可有效地减少了自行车保存量，创造更为安全的环境。　校园最重要的信息载体和标志的公共教学楼和图图书馆，以及学　校的行政办公楼，位于校区核心部位，便达性好，促进了信息的高速传　播，及行政管理的顺达、高效。　５＿３．２个性独特的山水校园　校园的个性表现在其对所处区域城市肌理和特殊地形地貌的反　映。　曲水流觞的园林：校园中部低洼用地经过重组和艺术化的处理，　并充分利用基地原有的水塘，与凸进校园的小型水体共同营造出校园　中心区“曲水流觞”的生态园林。此处的园景生态核是师生们体　憩、早读、交往的场所，给人以活泼、愉悦的环境享受。校园内大面积的　人行道、广场绿化，令茂名市第二职业技术学校新校区成为名符其实　的山水校园。　【参考文献】　［１］普通高等学校建筑规划面积指标．１９９２—５—３．　［２］关于大力发展职业教育的决定．国发［２００５］３ｓ号　５＿３．３安全、舒适的校园环境　以人为本，保证师生在校区内的安全及健康是方案的重点，通过　［责任编辑：曹明明】　严格的人车分流，在保证各组团通过与环形主路相接的各尽端车行支　路疏通物流外，在，在中心广场、生态区以及学生生活区内，留出　ｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ　ｓｙｓｔｅｍｓ—Ｏｖｅｒｖｉｅｗ　ａｎｄ　ｖｏｃａｂｕｌａｒｙ　（上接第３６８页）３．９发布年度风险评估报告完成确定的控制措施　ＩｎｆＳＯ／ＩＥＣ　２７００１：２００５，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ—　列表后，评估方发布风险评估报告，并向管理层及相关部门汇报评估　［３］Ｉ结果及控制措施。　Ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ　ｓｙｓｔｅｍｓ—Ｒｅｑｕｉｒｅｍｅｎｔｓ．　风险评估报告内容主要包括，安全漏洞描述、相关资产、产生的威　ｐｒａｃｔｉｃｅ　ｆｏｒ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ．　胁及风险级别，并说明确认的控制措施及相应剩余风险。　［５］ＩＳＯ／ＩＥＣ　２７００３，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｆｉ￣ｔｅｃｈｎｉｑｕｅｓ—Ｉｆｏｒｍａｔｎｉｏｎ　３．１Ｏ控制措施的实施及监督风险评估报告发布后，控制措施形成　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ　ｓｙｓｔｅｍ　ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｇｕｉｄａｎｃｅ．　［４］ＩＳＯ／ＩＥＣ　２７００２：２００５，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ～Ｃｏｄｅ　ｏｆ　安全生产任务，加入年度安全生产任务工作流程，加以实施和监督，年　底对工作的完成情况进行考核。　４结语　［６］ＩＳＯ／／ＥＣ　２７００４，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｙ　ｔｔｅｃｈｎｉｑｕｅｓ—Ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ～Ｍｅａｓｕｒｅｍｅｎｔ．　［７］ＩＳＯ／ＩＥＣ　２７００５：２００８，Ｉｆｏｒｎｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ—　Ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｒｉｓｋ　ｍａｎａｇｅｍｅｎｔ．　ＳＯ／ＩＥＣ　２７００６：２００７，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ—　本文从信息资产的角度出发．通过资产估值、威胁漏洞分析、影响　［８］Ｉ可能性分析、风险分析等阶段，建立了一套步骤清晰、标准明确的风险　评估方。该方应用了Ｉｓ０２７０ｏ１中风险管理的理念，遵循　Ｒｅｑｕｉｒｅｍｅｎｔｓ　ｆｏｒ　ｂｏｄｉｅｓ　ｐｒｏｖｉｄｉｎｇ　ａｕｄｉｔ　ａｎｄ　ｃｅｒｔｉｉｆｃａｔｉｏｎ　ｏｆ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｃｎｔ　ｓｙｓｔｅｍｓ．　ＰＤＣＡ的持续改进模型，识别风险来源和类型，估算风险水平．最终确　［９］ＩＳＯ／ＩＥＣ　２７００７，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｉｑｕｅｓ—Ｇｕｉｄｅｌｉｎｅｓ　ｆｏｒ　ｉｆｏｒｎｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｍａｎａｇｅｍｅｎｔ　ｓｙｓｔｅｍｓ　ａｕｄｉｔｉｎｇ．　定风险严重性，以此来指导组织更有针对性地应对风险，从而建立持　［１０】信息安全技术．信息安全风险评估规范，ＧＢ／Ｔ　２０９８４—２００７．　续改进的信息安全管理体系。该方通过检查表、访谈提纲、数量化　［１　１］Ｃｈｒｉｓｔｏｐｈｅｒ　Ａｌｂｅｒｔｓ，Ａｕｄｒｅｙ　Ｄｏｒｏｆｅｅ，Ｍａｎａｇｉｎｇ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　Ｒｉｓｋｓ：　计算等手段有效的降低了安全审计人员的主观差异，在实际应用中取　Ｔｈｅ　ＯＣＴＡＶＥＳＭ　Ａｐｐｒｏａｃｈ．北京：清华大学出版社，２００３．　得了良好的效果。　作者简介：肖应霖，男，上海，大学本科毕业，正攻读上海交通大学信息安全　【参考文献】　［１］孙强，陈伟，王东红．信息安全管理——全球最佳实务与实施指南．北京：清华　大学出版社，２００４：７１．　［２］ＩＳＯ／ＩＥＣ　２７０００：２００９，Ｉｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ—Ｓｅｃｕｒｉ￣ｔｅｃｈｎｉｑｕｅｓ一　Ｉ程学院项目管理专业工程硕士。　［责任编辑：翟成梁］