《信息安全技术 信息安全风险评估规范》(GB/T 20984-207)中说明了信息安全风险的三要素为威胁、资产和脆弱性。《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)对信息安全风险管理过程进行了定义,包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面。其中背景建立、风险评估、风险处理和批准监督是信息安全风险管理的四个基本步骤,监控审查和沟通咨询则贯穿于这四个基本步骤中。
风险管理的这四步中,第一步背景建立,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。第二步风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步是风险处理,依据风险评估的结果,选择和实施合适的安全措施。第四部是普准监督,机构的决策层依据风险评估和风险处理的记过是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。
当受保护系统的业务目标和特性发生变化或面临新的风险时,需要再次进入上述4步,形成新的一次循环。
监控审查对上述4步进行监控和审查,监控是监视和控制过程的有效性和成本的有效性。沟通咨询是为相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径,以保持相关人员之间的协调一致,共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径,以提高人员的风险意识和知识,配合实现安全目标。
背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析四个阶段。
风险评估的过程包括方风险评估准备、风险要素识别、风险分析和风险结果判定四个阶段。
风险处理的过程包括风险判断、处理目标确立、处理措施选择和处理措施实施四个阶段。风险处理的四种方式为:降低、接受、规避、转移。
批准监督包括批准和持续监督两部分。批准,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。持续监督,是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。
批准通过的原则有两个:一是信息系统的残余风险是可接受的,而是安全措施能够满足信息系统当前业务的安全需求。
监控审查包括三方面的内容:一是监控过程的有效性,要求对过程是否完整和有效地被执行进行监督;对输出文档是否齐全和内容完备进行监控;二是监控成本的有效性,要求对执行成本与所得效果相比是否合理进行监控;三是审查结果有效性和复合型,要求对输出结果是否符合信息系统的安全要求进行审查;对输出结果是否因信息系统自身或环境的变化而过时进行审查。。
沟通咨询实现两方面的目标,一是面向参与人员的沟通;二是面向相关人员的咨询。
内容来自于《信息安全技术 信息安全风险管理指南》(GB/Z 24363-2009)。
