中文

Powertime共享课堂 | 学习网络安全风险管理方法与风险评估

文章发布日期:2020-08-13

01



网络安全风险管理方法——31000
image.png
ISO 31000这个标准提出了风险管理的原则、框架和过程。值得注意的是31000这个国际标准讲的风险管理是不分行业的,不论是网络安全风险管理还是人身健康的风险管理,亦或是家庭财产的风险管理、组织法律的风险管理,还是其他的一切,都可通用。所以说风险管理是一门学问。

31000-风险管理“八项原则”


  1. 整合。风险管理是所有组织活动的一个组成部分。
  2. 结构化和全面性。风险管理的结构化和全面性有助于取得一致和可比的结果。
  3. 定制化。风险管理框架和过程根据不同组织确定,并与组织的外部和内部环境相关的目标相对应。
  4. 包容性。让利益相关方适当、及时参与,考虑他们的建议、观点和看法,将有利于提高风险意识和风险管理。
  5. 动态化。风险可以随着组织内外部环境的变化而发生、变化或消失。风险管理应以适当和及时地预测、检测、确认和响应这些变化和事件。
  6. 最佳可用信息。风险管理的输入是基于历史和当前的信息,以及未来的预期。风险管理应明确考虑与这些信息和预期有关的任何限制和不确定性。信息应及时、清晰,对利益相关方可用。
  7. 人和文化因素。人员的行为和文化在各个层面和阶段,对风险管理各个方面产生重大影响。
  8. 持续改进。通过学习和积累经验,风险管理得以不断改进。

31000-风险管理框架


  1. 领导和承诺。最高管理和监督机构应确保将风险管理纳入所有组织活动,具有领导能力和做出承诺。
  2. 整合实施。风险管理依赖于对组织结构和环境的理解。结构的不同取决于组织的目的、目标和复杂性。风险管理存在于组织的每个部分。组织中的每个人都有管理风险的责任。
  3. 设计。理解组织及其背景,阐明风险管理承诺,分配组织角色、权限、职责和责任,分配资源,沟通和协调。
  4. 执行。制订适当的计划,确定何处、何时、如何以及由谁在整个组织内作出不同决定。必要时修改适用的决策程序。确保清楚了解和执行风险管理的安排。
  5. 评价。根据风险管理框架的宗旨、实施计划、指标和预期行为定期考核绩效,确定风险管理是否仍然适合支持实现组织的目标。
  6. 改进。组织应不断改进风险管理框架的适宜性、充分性和有效性,以及风险管理过程的整合实施方式。当发现差距或改进机会时,应制定计划和任务,落实执行。

31000-风险管理过程方法


image.png
02


常用的网络安全风险管理方法

  • ISO/IEC 27005:2012 信息安全风险管理
  • ISO/IEC 13335-3:1998 IT安全管理方法
  • NIST-SP800-30:2012 风险评估实施指南
  • OCTAVE:1999 Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 可操作的关键威胁、资产和脆弱性评估框架
  • GB/T 33132-2016 信息安全风险处理实施指南
  • GB/T 31722-2015 信息技术 安全技术 信息安全风险管理
  • GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
  • GB/T 20984-2007 信息安全技术 信息安全风险评估规范


ISO/IEC 27005 信息安全风险管理


image.png
该标准正在重新修订过程中

ISO/IEC 13335-3 IT安全管理方法


image.png
13335详细风险分析方法:
确定评估范围→识别资产资产赋值威胁评估脆弱性评估识别已有或计划采取的防护措施评价风险选择防护措施风险接受实施防护措施
image.png

“风险-资产-威胁-脆弱性”的计算


image.png
03


13335风险计算
风险评价其实就是一个计算的过程,需要注意的是,所有做网络安全风险评估都离不开资产、威胁、脆弱性这三个要素,但是如果完全按照这样的一个方法去做,那你的风险评估是做不了的,风险管理也会是失败的。我所以我们要定制化地运用这些风险管理的方法。

方法一:


预先建立价值矩阵,确定风险值
image.png
风险计算举例:
image.png
回顾方法一的图表,可得到最终的计算值为8,不同的风险也可以此方法计算,然后根据计算的结果对这些风险进行排序。

方法二:


按威胁排序,代表风险
image.png

方法三:


按风险发生的可能性和后果
image.png

其他:
NIST SP800-30 风险管理指南
image.png
OCTAVE:1999
OCTAVE:Operationally Critical Threat, Asset, and Vulnerability Evaluation

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部