|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.头脑风暴法:成员产生对风险的想法,并在会议上公布这些风险来源,让大家一起参与检查,然后根据风险类别进行风险分类。这样风险定义就清晰化了。
|
|
|
|
.德尔菲法:使用问卷征求重要风险方面的意见,将意见结果反馈给每位专家,重复此过程几个回合,即可在主要的风险上达成一致意见。
|
|
|
|
.访谈法:通过访谈资深系统规划与管理师相关领域的专家进行风险识别。访谈对象依据他们的经验、服务的信息,以及他们所发现的其他有用供方,对风险进行识别。
|
|
|
|
.优劣势分析法(Strengths Weaknesses Opportunities Threats, SWOT):从每个方面对进行检查,扩大考虑风险的范围。
|
|
|
|
(3)检查表。从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表。
|
|
|
|
(4)分析假设。分析假设是一种技术手段,它从不准确、不连贯、不完整的假设中识别风险。
|
|
|
|
(5)图解技术。图解技术包括因果分析图、系统或过程的流程图等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
|
|
|
|
风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
|
|
|
|
|
|
风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
|
|
|
|
|
|
进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.因果图:又称石川图或鱼骨图,用于识别风险的起因。
|
|
|
|
.系统或过程流程图:显示系统各要素之间的相互联系及因果传导机制。
|
|
|
|
.影响图:用图形方式表示变量与结果之间的因果关系、事件时间顺序及其他关系。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
对项目文档(包括各种计划、假设条件、以往的项目文档、协议和其他信息)进行结构化审查。项目计划的质量,以及这些计划与项目需求和假设之间的匹配程度,都可能是项目的风险指示器。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
信息收集(Information Gathering)是指通过各种方式获取所需要的信息。信息收集是信息处理的基础。信息可以分为原始信息和加工信息两大类,原始信息是指未经加工的信息,加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息。
|
|
|
|
信息收集分为信息识别、信息采集和信息表达三个阶段。
|
|
|
|
①信息识别。对信息进行识别,获取有用的信息。信息识别可以采用直接观察、比较和间接识别等方式。
|
|
|
|
②信息采集。对识别后的信息根据不同的需求运用不同的采集方法进行信息采集。
|
|
|
|
③信息表达。信息采集后,可以采用文字/符号、数字/编码、声音/图像对采集到的信息进行表达。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.头脑风暴:目的是获得一份综合的项目风险清单。可用风险类别作为基础框架,然后依风险类别进行识别和分类,并进一步阐明风险的定义。
|
|
|
|
.德尔菲技术:组织专家达成一致意见的一种方法。项目风险专家匿名参与,组织者使用调查问卷就重要的项目风险征询意见,然后对专家的答卷进行归纳,并把结果反馈给专家做进一步评论。这个过程反复几轮后,就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚,防止任何个人对结果产生不恰当的影响。
|
|
|
|
.访谈:同有经验的项目参与者、干系人或相关主题专家进行访谈,有助于识别风险,
|
|
|
|
.根本原因分析:发现问题、找到其深层原因并制定预防措施的一种特定技术。
|
|
|
|
|
|
|
|
|
|
|
|
|
