中文

Powertime共享课堂 | 认识网络安全风险与风险管理

文章发布日期:2020-08-13

01



现代风险管理的历史

现代风险管理源于美国,1930年代,受当时经济危机影响,美国40%的银行和企业破产,促使他们设立风险管理部门,应对危机,也是从这个时候开始,现代意义上的风险管理工作才正式的开始;1950年代风险管理发展成为一门学科,风险管理一词才形成;1970年代以后逐渐掀起了全球性的风险管理运动,法国、日本相继学习美国开始了风险管理研究;1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,它标志着风险管理的发展已进入了一个新的发展阶段;1986年,由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围;1998年,ISO/TMBG成立风险管理术语工作组,制定ISO Guide 73。 

中国对于风险管理的研究开始于1980年代,之前中国大部分组织缺乏对现代风险管理的认识,也没有建立专门的风险管理机构,2007年11月,全国风险管理标准化技术委员会成立;2011年,ISO设立TC262 Risk Management。
02



什么是“风险”
image.png
在标准里面的“风险”描述如下:
GB/T23694-2013/ISO Guide 73:2009 风险管理  术语

1597302009385255.png

image.png
“风险管理”的定义:
在风险方面,指导和控制组织的协调活动。

风险评估和风险处置(应对,处理):
风险评估包括风险识别、风险分析和风险评价的全过程。
风险应对为处理风险的过程。可包括:不开始或不再继续导致风险的行动,以规避风险;为寻求机会而承担或增加风险;消除风险源;改变可能性;改变后果;与其他各方分担风险(包括合同和风险融资);慎重考虑后决定保留风险。针对负面后果的风险应对有时指“风险缓解”“风险消除”“风险预防”“风险降低”等。风险应对可能产生新的风险或者改变现有风险。

风险管理全局图
image.png

学习风险管理的参考资料
image.png
image.png
03


网络安全风险管理基础

学习网络安全风险管理,可以优先参考ISO/IEC 13335,虽然这个标准目前是废止状态,已被其他标准所取代,但它仍是其他标准拟定的重要参考,它仍可提供网络安全风险评估和管理的大部分学习知识,具有极大地学习价值。
image.png
image.png
image.png
04


分解:“网络安全风险”要素

资产asset:

  • 是与组织IT系统相关的、有价值的元素。

  • 妥善管理资产是组织成功不可或缺的因素,也是所有管理层的重要职责。

  • 资产包括:基础设施、应用系统、信息和数据、人员、物理环境等 。

  • 应建立资产清单并对资产价值予以描述,这是一个组织网络风险管理工作的第一步。


威胁threat :

  • 可能导致对系统或组织危害的不希望的事故的潜在原因。

  • 一个资产可能面临多种威胁,一个威胁可能影响多个资产。

  • 威胁具有一些特征:来源、动机、频次、严重程度 。

image.png

脆弱性 vulnerability :

  • 可被一个或多个威胁利用的一个资产的或一组资产的弱点。 

  • 存在于资产自身、周围环境、管理等方面。

  • 本身不会引起损害,只是一种条件或一组条件。

  • 也称为“漏洞”


脆弱性举例:系统漏洞、电子文件易被复制、删除和交换、安全专业人员缺乏、系统默认配置、数据中心火灾、易燃设施和材料等。

影响 impact :

  • 一个网络安全事故的后果。

  • 不期望事件的后果。

直接后果可能是某些资产的毁坏、IT系统的损坏和保密性、完整性、可用性等的丧失;间接后果可能包括财务损失、以及市场份额或组织声誉的损失。影响的度量可以参考防止不希望的事故的成本,可以有多种方法来定性和定量度量,比如:制订财务费用。规定严重程度经验等级,例如,1到10,或者高、中、低。影响判断或度量是风险评估和选用防护措施的一个重要的环节。

防护措施safeguards:

  • 降低风险的习惯做法、程序或机制。

  • 可以防止威胁,减少脆弱性,降低不希望事故造成的影响。

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部