ISO27001信息安全風(fēng)險的分類

2019/3/8 15:21:59 次

　　ISO27001信息安全風(fēng)險的管理是關(guān)于實現(xiàn)和維護信息系統(tǒng)機密性、完整性和可用性的與安全相關(guān)的所有方面，理想的安全風(fēng)險標(biāo)準(zhǔn)應(yīng)該是一個集成的、一致的、可分析的、切合實際的、成本效益平衡的方法。從信息安全風(fēng)險管理分類的介紹可以看出，信息安全風(fēng)險除安全技術(shù)風(fēng)險外，還涉及安全政策、標(biāo)準(zhǔn)、意識、戰(zhàn)略等方面。比如ISO27001和 NISTSP800-26安全自評估指南(Security Self Assessment Guide)，則注重安全管理方面多于安全產(chǎn)品和系統(tǒng)，是可以經(jīng)過調(diào)整適合組織需要，進行自我評估的良好標(biāo)準(zhǔn)，已在各種類型組織、公共和私人部門，以及工商業(yè)得到廣泛的應(yīng)用。但由于上述標(biāo)準(zhǔn)涉及的安全方面都缺乏定量的安全測度方法，因此不同評估人員，則會由于主觀的原因，給出不同的風(fēng)險等級，使結(jié)果缺乏可信度，不能直接拿來使用。

　　ISO27001信息安全風(fēng)險分類不僅要考慮風(fēng)險發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險基礎(chǔ)上，同時考慮各項風(fēng)險之間的相互關(guān)系，對綜合安全風(fēng)險進行分析和評估。論文從信息安全科學(xué)的角度，在對上述安全風(fēng)險管理標(biāo)準(zhǔn)的比較基礎(chǔ)上，綜合環(huán)境、人員、管理、技術(shù)、法律、經(jīng)濟等系統(tǒng)風(fēng)險問題，把信息安全風(fēng)險分為：人員風(fēng)險、組織風(fēng)險、物理環(huán)境風(fēng)險、信息機密性/完整性風(fēng)險、系統(tǒng)風(fēng)險、通信操作風(fēng)險、基礎(chǔ)設(shè)施風(fēng)險、業(yè)務(wù)連續(xù)性風(fēng)險、第三方風(fēng)險、風(fēng)險評估風(fēng)險、法律風(fēng)險和風(fēng)險決策風(fēng)險共十二個方面。

　　1)人員風(fēng)險

　　由于組織缺乏人員安全管理、明確的職責(zé)和意識教育，內(nèi)部無意或惡意人員的失誤或攻擊，以及來自外部惡意或好奇人員或組織的攻擊，會使組織業(yè)務(wù)面臨大的風(fēng)險。

　　2)組織風(fēng)險

　　如果組織在信息安全組織管理方面基礎(chǔ)薄弱、職責(zé)不清、技術(shù)服務(wù)能力差等原因，使組織在信息安全管理方面處于失控狀態(tài)，加大了信息安全風(fēng)險。

　　3)物理環(huán)境風(fēng)險

　　由于缺乏對組織場所的安全保衛(wèi)，或是防水、防火、防雷等保護措施，在面臨偷盜、自然災(zāi)難時，有時會造成極大的損失。

　　4)信息機密性/完整性風(fēng)險

　　信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要價值的資產(chǎn)，甚至一些觀點認為信息是組織的血液，是“一種在資產(chǎn)負債表之外，經(jīng)過逐漸積累的，可以被用來提升組織競爭優(yōu)勢的信息”。同實物資產(chǎn)相比，信息非常分散并且易于復(fù)制，是組織業(yè)務(wù)流程的重要輸入和輸出數(shù)據(jù)，比如客戶資料、產(chǎn)品設(shè)計等，如果得不到正確的識別、評估、保存和管理，就面臨可能被竊取、損毀、丟失的風(fēng)險，不但使依賴于這些關(guān)鍵信息的核心業(yè)務(wù)造成嚴(yán)重損壞，還會對組織的信譽、聲望造成巨大損失，甚至?xí)輾д麄€組織。

　　信息風(fēng)險管理，主要是保證信息的機密性、完整性和可用性。

　　5)系統(tǒng)風(fēng)險

　　通常所用的計算機操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，尤其是多個應(yīng)用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。比如有的系統(tǒng)維護困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計漏洞等多種問題，有時會在系統(tǒng)升級和安裝補丁時引入較高的風(fēng)險。

　　系統(tǒng)風(fēng)險要求機構(gòu)對系統(tǒng)應(yīng)用具備協(xié)同、維護、測試、版本管理、配置管理、系統(tǒng)管理、監(jiān)控等方面具備管理能力。

　　6)通信操作風(fēng)險

　　如果在通訊加密、應(yīng)用分區(qū)、防病毒、IDS 等安全措施出現(xiàn)技術(shù)或管理問題時，被攻擊者利用后，會引發(fā)信息安全風(fēng)險。

　　7)基礎(chǔ)設(shè)施風(fēng)險

　　基礎(chǔ)設(shè)施包括支撐業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)(局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專線網(wǎng)、無線網(wǎng))、硬件(服務(wù)器、主機、應(yīng)用終端、共享設(shè)備)、物理環(huán)境，它們是組織業(yè)務(wù)賴以生存的基礎(chǔ)(如電力、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器等)，一旦出現(xiàn)故障或中斷，它所承載的應(yīng)用也會出現(xiàn)問題或停頓。

　　基礎(chǔ)設(shè)施風(fēng)險要求組織在應(yīng)用層、網(wǎng)絡(luò)層、鏈路層、物理層面進行綜合防御。

　　8)業(yè)務(wù)連續(xù)性風(fēng)險

　　依賴于信息系統(tǒng)服務(wù)的組織關(guān)鍵業(yè)務(wù)可能因系統(tǒng)的“宕機”而中斷，或是因系統(tǒng)服務(wù)效能的降低(如響應(yīng)時間過長)造成新客戶的流失或老客戶的轉(zhuǎn)移。

　　業(yè)務(wù)連續(xù)性風(fēng)險，要求機構(gòu)具備信息技術(shù)服務(wù)、安全事件處理和災(zāi)難恢復(fù)能力。

　　9)第三方合作風(fēng)險

　　第三方指服務(wù)供應(yīng)商、銷售商。隨著外包業(yè)務(wù)的興起，許多組織業(yè)務(wù)依賴于供應(yīng)商和銷售商的服務(wù)提供，由于不完備的合同、第三方服務(wù)能力性能下降、不適應(yīng)快速增長的業(yè)務(wù)需求、缺乏第三方的管理經(jīng)驗、產(chǎn)品支持失效、過短的升級周期、功能性不足等多種風(fēng)險因素，導(dǎo)致第三方服務(wù)失效。

　　第三方合作風(fēng)險要求在合同談判、轉(zhuǎn)換服務(wù)上加強風(fēng)險管理。

　　10)風(fēng)險評估風(fēng)險

　　如果不專業(yè)的風(fēng)險評估人員、不科學(xué)的評估方法、不一致的評估標(biāo)準(zhǔn)常常會造成系統(tǒng)風(fēng)險評估的不一致、不正確的風(fēng)險評估結(jié)果，造成風(fēng)險決策出現(xiàn)失誤。

　　11)法律風(fēng)險

　　在信息系統(tǒng)的運行過程中，由于不知曉國家法律，或是明知故犯，使組織面臨由于個人隱私泄露所造成的風(fēng)險。

　　12)決策風(fēng)險

　　應(yīng)用風(fēng)險評估的結(jié)果進行風(fēng)險決策和控制選擇是信息安全風(fēng)險管理的核心，也是最終的目標(biāo)。如果在風(fēng)險分析、評估、控制方面不能全面、科學(xué)反映組織的安全狀態(tài)，決策者可能會在安全投資方面出現(xiàn)重大失誤。決策風(fēng)險主要是依據(jù)風(fēng)險評估的結(jié)果在風(fēng)險避免、風(fēng)險減緩、風(fēng)險轉(zhuǎn)移和風(fēng)險承受四個方面進行權(quán)衡決策，避免決策失誤。