GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

企业信息安全管理体系的实现过程-3(信息安全风险管理)

分享:

所谓“信息安全风险管理”其实质也是风险管理,只不过针对的管理目标是信息资产而已,是在通用风险管理的方法上增加了信息资产的特性。

在整个信息资产安全体系建设的全过程中,“信息安全风险管理”可以作为“现状了解”阶段的一个方法,通过风险管理的方法来认识组织信息体系的现状,同时通过风险管理的理论来指导信息安全体系的建立。作为信息安全风险管理来说,其主要可以分为以下四个环节来实施:

信息资产分析-->风险分析-->风险评价-->风险处理,这里就这四个环节的核心目标和包括的子任务介绍一下。

一、信息资产分析,解决组织信息安全管理的对象问题,即对哪些东西实施安全风险管理?

先确定什么是信息资产?包括:硬件、软件、信息、数据、源码、规则/计划、环境设施(如:机房、动力设备、外设等)、服务、人员和无形资产等。我们不能脱离实际环境谈风险管理,“是不是风险,风险的影响度,对风险的承受度”都和实际环境密不可分。因此,首先信息资产分析要从组织的核心业务识别做起,处在组织核心业务链上的信息资产应该投入更高的优先关注。其次,把核心业务映射到具体的业务流程和部门中,因为信息资产是各个部门通过流程的运行来支持业务作用的。第三,以部门为梳理执行单元,整理各自部门下的信息资产,形成资产清单, 并把支持相同或者相近业务功能的资产组成资产组合。在以上工作完成后,每个信息资产在以下三个层次上具有风险接受标准:信息资产本身、所在的信息资产组和所在的业务领域。最后这些信息资产,形成汇总的资产报告,主要内容包括:资产组信息、资产大类/种类/小类(视具体情况和力度去划分)、资产名称、资产描述、位置、所有者、管理者、使用者等必要信息。

二、风险分析,通过一些属性,针对信息资产所做的风险调查和确认,并制定有针对性的解决措施。风险来源于外部的威胁,因此首先要根据信息资产来识别分析各自的威胁属性,包括:威胁的主体、能力、资源和动机等。风险根源是内部系统的脆弱性(漏洞),包括:信息资产本身的脆弱性和引文安全措施不足导致的脆弱性。经验而谈,大多数的脆弱性是由于不良的流程和人员意识薄弱导致的。对每个信息资产,我们需要通过定性/定量的方式进行深度分析,其目的就是客观准确的制定控制措施(从行政、技术、管理等方面出发降低风险发生的概率或者减少影响程度),对关键资产投入更多的资源。资产分析的重要内容之一,就是评估每个资产的CIA,最后形成组织<资产分析报告>。

三、风险评价,通过定性定量的评估,确定组织风险的严重性和紧急程度,排列风险解决的优先级顺序。通过我们掌握了组织每个信息资产的风险情况和控制措施,接下来就是综合评价这些信息资产,确定解决风险的优先级。这里需要强调一下,确定风险的优先级一定是结合业务特点,不能只从信息资产本身来评估。在上面介绍过“每个信息资产在信息资产本身、所在的信息资产组和所在的业务领域三个层次上具有风险接受标准”而确定风险优先级也是在这三个层次中寻找最高标准的来做规划,既是“就高不就低”原则,同时需要考虑的是技术,人员,能力和资源等因素。最后要形成风险级别矩阵和风险级别描述。

四、风险处理,通过一系列的规划设计,确立信息安全风险实施项目,并制定落实项目的实施。这个环节包括了以下几个具体细节工作:第一、根据成本、目标和范围等确定处理的策略。第二、根据管理和技术约束来选择安全措施。第三、以项目的形式,按优先级别组织制定安全计划。第四、依据项目管理落实实施计划。

最后强调一点,“信息安全风险管理”是一个持续性的管理工作,应该作为企业组织一种常态的管理内容定期的或者当与安全相关的事件在组织内发生时启动实施。每个企业、组织都应该具备自己完成这个管理的能力。

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77123

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯