前言
在各产业高速发展的今天,风险管理早已不是某个行业所特有的名词与管理方式,甚至已经成为当代企业为保证自己业务的快速健康发展,避免企业与生俱来的风险,如各种意外情况或事件的影响,保持持续前进动力的一个必不可少的武器。
本文将介绍本人就业经历中所接触过的一些风险管理方法或工具。如不久前由小米汽车引发的异常火爆的汽车制造业及其供应链所使用的风险管理工具,即TS16949体系中的5大工具之一的失效模式与影响分析(FMEA);我们上班族的日常厨房-麦当劳,所采用的食品安全管理体系(ISO22000)也有它们自己的风险管理过程——危害分析与关键控制点(HA&CCP)。以上两个体系工具会在最后作简单提及,希望能帮大家开拓思维,抛砖引玉,本次分享的是信息安全行业,即应用ISO27001信息安全管理体系下的风险管理实践和工作过程中得益于物理安全管理角度的想法和启发,希望能有更多机会与大家一起构建一个兼顾多元,创新与经济效益的风险管理体系。
ISO27001 在圈内被称为一个“基于风险识别与处理的体系”,换言之所有管控措施都源于风险管理。它的背景,发展历程与现况等,就不赘述了,也不打算在这展示那些有高度概括特色,又难以直接用于指导实践的条款内容。适逢之前有几个朋友问起具体的风险评估与处理步骤方法,就恰好引出了我的主要目的:总结并展示最近两家企业(美资及民企)的风险管理实际操作方法。希望能分享给大家直接有效的操作方法,避开很多书籍上提到的各种特别复杂理论与链条式元素的影响,一切以可操作性为主。
1. 基本要素
风险管理是由风险评估和风险响应这两个基本要素组成的。
风险评估或风险分析是指检查环境中的风险,评估每个威胁事件发生的可能性和实际发生后造成的损失,并评估各种风险控制措施的成本。这个结果可用于对风险的级别排序,然后进行对应的风险响应。
风险响应包括使用成本/收益分析的方法,评估风险预防,风险控制和安全治理,根据其他条件、关注事项、优先事项和资源调整评估结果,并在向高级管理层汇报的报告中给出建议的响应方案。根据管理决策和指导,将所选择的响应措施部署到资产和流程中,并在安全策略文档中进行记录及说明。
我们先一起来认识几个风险管理的基本要素与分析原理:
资产(Asset):是指环境中应该加以保护的任何事物。
资产估值(Asset Valuation):指的是根据实际的成本和非货币性支出为资产分配的货币价值。
威胁(Threat):任何可能发生的、为组织或某种特定资产带来不期望或不需要的结果的事情。
脆弱性(Vulnerability):脆弱性是资产中的弱点,是防护措施或控制措施的弱点,或缺乏防护或控制措施。
暴露(Exposure):暴露指脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的。
防护措施(Safeguard):防护措施(Safeguard)、安全控制(Security control)、保护机制(Protection mechanism)或对策(countermeasure)是消除或减少漏洞或防止一种或多种特定威胁的任何事物,这个概念也称为风险响应。
风险(Risk)指信息资产遭受损坏并给企业带来负面影响的潜在可能性。
攻击(Attack):攻击就是任何故意利用组织安全基础设施的脆弱性并造成资产受损或泄露的行为。
它们之间的关系如下图:
2. 分析原理与评估方法
2.1 风险分析原理可总结为下图所示:
对资产进行识别,并对资产的价值进行赋值。
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性。
根据脆弱性的严重程度及安全事件所作用于资产的价值计算事件的损失。
根据安全事件发生的可能性及安全事件导致的损失,计算安全事件一旦发生后对组织的影响,即风险值。
2.2 风险评估方法介绍:
风险评估方法其实有很多,有复杂的如技术评估,整体评估;基于知识,模型的评估等,且并不能简单的一概而论的来评价它们的优劣,而个人经验上更偏向于定性与定量相结合的方法。
定性评估:
定性分析方法是使用最广泛的风险分析方法,更多的是基于场景而非计算。多数情况下该方法依据组织面临的威胁、脆弱点及控制措施等元素来决定全风险等级。
在定性评估时,并不使用具体的数据,而是指定期望值。如设定威胁值和脆弱性值为“高”“中”和“低”,且只使用期望值。该方法不能明显区别风险值之间的差别,可以考虑为定性数据指定数值,如设“高”的值为3.“中”的值为2.“低”的值为1等。但是需要注意的是,这里考虑的只是相对等级,并根据相对等级,采取合适的风险管控制措施,并不能说明该风险到底有多大, 无法量化,所以不要赋予相对等级太多的意义,否则将会导致错误的决策。
定量评估:
定量风险分析可用数字指示出相关风险的可能性。这意味着定量风险分析的最终结果是一份包含风险级别、潜在损失、控制措施成本和防护措施价值等货币数据的报告。这份报告通常容易理解。可将定量风险分析看作是用数字衡量风险的行为,换句话说,就是用货币形式表示每项资产和威胁。
然而,完全靠定量分析是不可行的,并不是所有分析元素和内容都可量化,因为有些元素和内容是定性的、主观的或无形的,所以定性评估同样必不可少。定量和定性风险分析机制都能提供有用的结果。针对同一资产和风险进行评估,两种方法都有特色,应谨慎的要求尽可能同时使用这两种方法,以便在风险方面取得平衡。
3 风险评估前的准备工作:
风险评估的准备是整个风险评估过程有效性的保证,是战略性的考虑,其结果将受到组织业务战略、业务流程 安全需求等方面的影响。因此,在风险评估实施前,应先准备并记录以下几点:
确定风险评估的目标。
确定风险评估的范围。
组建适当的评估管理与实施团队。
进行必要的系统调研。
确定评估依据和方法。
获得最高管理者对风险评估工作的支持。
4 资产识别:
要识别,我们必须根据资产的存在形式进行分类。常用的分类有:数据,软件,硬件,服务,文档,人员,其他。分类完成后根据信息资产的三个基本属性进行评价:机密性,完整性,可用性,资产的价值不仅仅以资产的经济价值来衡量,而是由这3个安全属性的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此要对组织中的资产进行识别。
因为机密性,完整性,可用性是信息安全的三个基本要素,我们进行物理安全风险评估时应进行适当的取舍。个人认为机密性这个元素对大部分的生产资料(如常见的外包装等)或常见的安防系统设备(如CCTV等)市场上可普遍流通买卖,机密性不高的前提下,可以考虑改成可替换性,即当这个部件或设备损坏后,没有或很难找到相匹配的备件进行替换,那这个部件的价值相对整个系统来说价值就高。
下表列出了一些常见的资产分类方法:
数据 | 保存在信息媒介上的各种数据资料,包括源代码、数据库数据,系统文档,运行管理规程、计划、报告和用户手册等 |
软件 | 系统软件:操作系统、语言包、工具软件和各种库等 源程序:各种共享源代码、自行或合作开发的各种代码等 |
硬件 | 网络设备:路由器、网关和交换机等 |
服务 | 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务 信息服务:对外依赖该系统开展的各类服务 |
文档 | 纸质的各种文件,如传真、电报、财务报告和发展计划等 |
人员 | 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等 |
其他 | 企业形象、客户关系等 |
4.1资产赋值:
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合等级的过程。达成程度可由安全属性缺失时造成的影响来表示,影响包括可能造成某些资产的损害,从而危及信息系统,还可能导致经济效益降低、市场份额减少和组织形象的损失等。
4.2 机密性赋值:
根据资产在机密性上应达成的不同程度或机密性缺失时对整个组织的影响,建议可以将其分为3个不同的等级:
赋值 | 标识 | 定义 |
3 | 高 | 包含组织最高机密,关系未来发展的前途和命运,对组织有着决定性的影响,如果泄露会造成灾难性的损害,如组织战略,关键财务报务等 |
2 | 中 | 组织的一般性秘密,如果泄露会使组织的安全和利益受到损害 |
1 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能造成利益轻微损害 |
4.3 完整性赋值:
同理根据资产在完整性上应达成的不同程度或机密性缺失时对整个组织的影响,建议可以将其分为3个不同的等级:
赋值 | 标识 | 定义 |
3 | 高 | 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响 |
2 | 中 | 完整性价值中等,未经授权的修改或破坏会对组织造成影响, 可以弥补 |
1 | 低 | 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响, |
4.4可用性赋值:
同理根据资产在可用性上的不同要求,将其分为3个不同的等级:
赋值 | 标识 | 定义 |
3 | 高 | 可用性价值较高,合法使用者对信息及信息系统的可用度达到90%及以上,或系统允许中断时间小于10 min |
2 | 中 | 可用性价值中等,合法使用者对信息及信息系统的可用度正常达到70%以上,或系统允许中断时间小于30 min |
1 | 低 | 可用性价值较低,合法使用者对信息及信息系统的可用度在25%以上,或系统允许中断时间小于60 min |
4.5 资产重要性等级:
资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果,即比较机密性、完整性和可用性三者的赋值,取其中最大的数值作为资产的最终赋值。(这是最简单的方法,当然还可使用加权法进行赋值等方法)。
资产识别样本-下图截取部分硬件资产为例,仅供参考。
4.6威胁识别
威胁分类:
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在。威胁可以通过威胁主体、资源、动机和途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。
根据威胁的动机,人为因素又分为恶意和非恶意两种。环境因素包括自然界不可抗力和其他物理因素。这些因素会对资产的机密性、完整或可用性等方面造成损害, 以下是常见的威胁来源列表:
来源 | 描述 | |
环境因素 | 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪涝,地震等环境条件或自然灾害; 意外事故或软件、硬件、数据、通信线路老化等方面的故障 | |
人为 | 恶意人员 | 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。 |
非恶意 | 内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵守规章制度和操作流程而导致故障或信息损坏; 内部人员由于缺乏培训、专业不足、不具备岗位技能要求而导致信息系统故障或被攻击 | |
针对以上不同来源的威胁,可以根据其表现形式进行以下分类:
种类 | 描述 | 常见威胁类型 |
软硬件故障 | 由于设备硬件故障、通信链路中断、系统 本身或软件缺陷造成对业务实施、系统稳定运行的影响 | 设备硬件故障、传输设备故 障、存储媒体故障、系统软件故障、应用软件故障、数据库软化故障和开发环境故障 |
物理环境影响 | 环境问题或自然灾害 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等 |
无作为或操作失误 | 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响 | 维护错误、操作失误 |
管理不到位 | 安全管理无法落实,不到位 | 安全管理不规范,或者管理混乱,破坏信息系统正常有序运行 |
恶意代码和病毒 | 具有自我复制和自我传播能力,对信息系统构成破坏的程序代码 | 恶意代码、木马后门、网络病毒、间谍软件、窃听软件 |
越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为 | 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息 |
网络攻击 | 利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造和欺骗和拒绝服务等手段,对信息系统进行攻击和入侵 | 网络探测和信息采集、漏洞探测、嗅探(账户、口令和权限 |
物理攻击 | 通过物理的接触造成对软件、硬件和数据的破坏 | 物理接触、物理破坏、盗窃 |
泄密 | 将信息泄露给不应了解的他人 | 内部信息泄露、外部信息泄露 |
篡改 | 非法修改信息,破坏信息的完整性,使系统的安全性降低或信息不可用 | 篡改网络配置信息、篡改系统 配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息 |
抵赖 | 不承认收到的信息及所做的操作和交易 | 发送抵赖、接收抵赖、第三方抵赖 |
威胁赋值:
判断威胁出现的频率是威胁识别的重要内容,评估者应根据经验和有关的统计数据(历史统计或行业文献记录)来进行判断。我们可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁频率的高低。即等级数值越大,威胁出现的频率越高。
下表提供了威胁出现频率的一种赋值方法,以作参考:
等级 | 标识 | 定义 |
3 | 高 | 出现的频率较高(或=1次/周):或在大多数情况下有多次发生过 |
2 | 中 | 出现的频率中等 (或>1次/月);或在某种情况下可能发生过 |
1 | 低 | 出现的频率较小(或>1次/年);一般很少会发生; |
4.7 脆弱性识别:
脆弱性是所有资产弱点的总称。脆弱性识别也称为弱点识别,弱点是资产本身存在的,如果没有被相应的威胁利用。单纯的弱点本身不会对资产造成损害。如果系统足够强健,严重的威胁也不会导致安全事发生,并造成损失。即威胁总是要利用资产的弱点才可能造成危害。
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统和应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范或应用流程的安全要求。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层和应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关;后者与管理环境相关。
对不同资产的脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如:对物理环境的脆弱性识别可以参照《GB/T 9361—2000计算机场地安全要求》中的技术指标实施;针对操作系统和数据库,可以参照《GB 17859—1999 计算机信息系统安全保护等级划分准则》中的技术指标实施。管理脆弱性识别方面可以参照《GB/T 19716—2005 信息技术信息安全管理实用规则》的要求对安全管理制度及其执行情况进行检查,发现管理漏洞和不足。
下表提供了一些常见脆弱性识别内容,以作参考:
类型 | 识别对象 | 识别内容 |
技术脆 | 物理环境 | 从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、机房区域防护和机房设备管理等方面进行识别 |
网络结构 | 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略和网络设备安全配置等方面进行识别 | |
系统软件(操作系统及系统服务) | 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全和系统管理等方面进行识别 | |
数据库软件 | 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制和审计机制等方面进行识别 | |
应用中间件 | 从协议安全、交易完整性和数据完整性等方面进行识别 | |
应用系统 | 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制和密码保护等方面进行识别 | |
管理脆 | 技术管理 | 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护和业务连续性等方面进行识别 |
组织管理 | 从安全策略、组织安全、资产分类与控制、人员安全和符合性等方面进行识别 |
脆弱性赋值:
我们可以根据资产弱点被利用后对资产的损害程度、技术实现的难易程度,以及弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
如上表所示,对于某些资产,它不但受到技术脆弱性的严重程度影响,还会受到组织管理脆弱性双重因素的影响,因此资产的脆弱性赋值应参考两种脆弱性的影响严重程度。在进行等级化赋值时,不同的数值等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
下表提供了一种脆弱性严重程度的赋值方法以作参考 (也可以从资产的功能损失方面着手考虑进行赋值):
等级 | 标识 | 定义 |
3 | 高 | 如果被威胁利用,将对资产造成严重损害 |
2 | 中 | 如果被威胁利用,将对资产造成中等损害 |
1 | 低 | 如果被威胁利用,将对资产造成较小损害 |
确认已有控制措施
识别脆弱性的同时,评估人员应对已采取的安全控制措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正降低了系统的脆弱性,抵御了威胁。
安全控制措施可以分为预防性安全措施和纠正性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;纠正性安全措施可以减少因安全事件发生后对组织或系统造成的影响,如专项整改方案。安全措施确认并不需要像脆弱性识别过程那样具体到每个资产的弱点,而是某类具体措施的集合,为风险处理计划的制定提供依据和参考。
5 风险分析
做完以上冗长的准备工作步骤,终于迎来了曙光,到了我们最为关注风险分析与计算环节。在这个环节其实行业内不同的专业书籍,都有各自不同的观点与计算方法和主张,使用起来各有优劣,我还是坚持文章的开头宗旨:为大家呈现最为简单可行的风险计算方法。此计算方法既是继承及平常工作积累的改进,也与第三方权威认证机构的审核老师探讨过,得到了审核老师和公司客户群的认可,可放心使用:
风险值 = 资产值 × 威胁值 × 脆弱性值
将风险值按照之前的等级化分类方法分成三个高中低三个不同的等级,每个等级对公司的影响如下表:
等级 | 标识 | 描述 |
3 | 高 | 一旦发生将产生严重的经济或社会影响,在一定范围内影响运营和组织信誉造成损害 |
2 | 中 | 一旦发生会造成一定的经济、社会或生产经营影响,但影响程度不大 |
1 | 低 | 一旦发生所造成的影响程度较低,一般仅限于组织内部,通过简单的手段能很快解决 |
并将风险值与资产值,威胁值,脆弱性值的关系按照二维矩阵的方式列出下表:
脆弱性值 | 1 | 2 | 3 | |||||||
威胁值 | 1 | 2 | 3 | 1 | 2 | 3 | 1 | 2 | 3 | |
资产值 | 1 | 1 | 2 | 3 | 2 | 4 | 6 | 3 | 6 | 9 |
2 | 2 | 4 | 6 | 4 | 8 | 12 | 6 | 12 | 18 | |
3 | 3 | 6 | 9 | 6 | 12 | 18 | 9 | 18 | 27 | |
然后根据公司自身实际情况,评估并将风险值划分到三个等级中去,建议分类如下:
风险值 | 风险等级 |
18,27 | 3 |
6,8,9,12 | 2 |
1,2,3,4 | 1 |
风险等级处理,其目的是为风险管理过程中对不同风险直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。如本公司设定接受等级为1,如等级在1级的范围内,则该风险是可接受的风险,保持已有的安全措施;如果风险值在可接受的范围外(2级,3级),即为不可接受的风险, 需要采取安全措施以降低和控制风险。
下图风险识别样本截取部分软件资产以供参考:
6 风险处理计划:
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中要明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排和责任部门等。安全措施的选择应从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。
对不可接受的风险选择适当安全措施后,为确保安全措施的有效性,进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
下图截取部分风险处理格式样板以供参考:
以上为定性方法的风险评估及处理,我们可以看出此方法实践过程主观性因素是主导因素,这也就要求我们的评估成员要有丰富的经验及过硬的专业知识,这样才会产生高质量的定性风险管理方案,不得不说这也是定性评估方法的局限性。
定量风险评估及处理实践过程,我们将详细介绍,其主要步骤如下:
编制资产清单,并为每个资产分配资产价值(asset value, AV);
研究每一项资产,列出每一项资产可能面临的所有威胁。形成资产-威胁组合,这两步与前面定性风险评估类似,这里就不再赘述了;
对于每个资产-威胁组合,计算暴露因子(exposure factor, EF)。
暴露因子(EF)表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。EF也可被称为潜在损失。大多数情况下,已发生的风险不会导致资产的完全损失。EF仅表示单个风险发生时对整体资产价值造成的损失预计值。对于容易替换的资产(如硬件),EF 通常很小。但对于不可替代的或专有的资产(如产品设计或客户数据库),它可能非常大。EF用百分比表示。EF是通过使用内部的历史数据,执行统计分析,咨询当地政府机构或订阅权威机构(如ASIS,SOS等组织)的风险分类总账/登记册,或与顾问合作,使用风险管理软件解决方案来确定的。
d.对于每个资产-威胁组合,计算单一损失期望(single loss expectancy, SLE).
单一损失期望(SLE)是特定资产发生单一真实威胁的潜在损失。SLE 代表的是如果某个资产被特定威胁损害,组织将(或可能)遭受的潜在确切损失。SLE的计算公式:SLE=资产价值(AV) * 暴露因子(EF)
SLE 以货币为单位。例如,如果一支CCV价值是1000元,对于特定威胁如台风的暴露因子(EF)为45%,那么对于该资产,这项威胁的SLE 就是450元。不过,有时也可不计算SLE,而直接计算ARO。
e.执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率(annualized rate of occurrence, ARO)。
年度发生率(ARO)是在一年内特定威胁或风险发生(即真实发生)的预期频率。ARO的值可以是0(零),表示威胁或风险永远不会发生,也可以是非常大的数字,表示威胁或风险经常发生。ARO 的计算很复杂的,同EF一样也可通过查看内部的历史数据,执行统计分析,咨询当地政府机构或订阅权威机构(如ASIS,SOS等组织)的风险分类总账/登记册,或与顾问合作,使用风险管理软件解决方案来确定来获取。
某些威胁或风险的ARO是通过将单个威胁发生的可能性乘以引起威胁的用户数量来计算的。
f. 通过计算年度损失期望(annualized loss expectancy, ALE)得到每个威胁可能带来的总损失。
年度损失期望(ALE)是针对特定资产的单一特定威胁实际发生的所有实例,在年度内可能造成的损失成本。ALE 的计算公式如下:
ALE=单一损失期望(SLE) * 年度发生率(ARO) 或
ALE=资产价值(AV) * 暴露因子(EF) * 年度发生率(ARO)
例如,如果门禁权限数据服务器的SLE 是20000 元,而针对特定威胁(如断电)的ARO是0.5,那么ALE是10000元。另一方面,如果针对特定威胁(如账户受到攻击)的ARO为10, 那对同一资产来说,则ALE是20 000 *0.5 + 20 000 * 10 = 210 000元。
g.研究每种威胁的控制措施,然后基于已采用的控制措施,计算ARO、EF 和ALE的变化。
为每个资产和每种威胁/风险计算EF、SLE、ARO 和 ALE 是一项艰巨的任务。我们可以借助后面提到的定量风险评估软件工具可简化和自动化处理大部分计算过程。这些工具生成资产估值的详细清单,然后使用预定义的ARO以及一些定制选项(即行业、位置、IT组件等)生成风险分析报告。
一旦为每个资产-威胁组合计算出ALE,则应该对整个组合集按照ALE从大到小进行排序。虽然ALE 的实际数值并不是一个绝对数字,但它确实具有相对价值。数值最大的ALE就是组织面临的最大问题,也是风险响应中要解决的第一个风险。
最后针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施(总流程见如下示意图)。
目前定量和定性风险两种机制都是信息安全所推荐的风险评估及处理方式。两者的结合,可以很好地给管理人员描绘出企业目前风险管理水平和状态,资源分配等,且这些操作在满足政府,第三方审核机构,客户的审核方面能收到良好效果,希望各位能在此基础上继续发展,达到企业希望的风险管理的成本/收益的完美统一。
7 工具推荐
如果有朋友对以上手工表格方式去建立一整套风险管理过程的形式,考虑到时间及人力成本后觉得难以完成的,那建议可以考虑预算一下这款电子工具:Risk Watch.
美国Risk Watch公司综合各类相关标准,开发了风险分析自动化软件系统,进行风险评估和风险管理,共包括5类产品: 分析信息系统安全风险、物理安全风险、以HIPAA为标准存在的风险、以RW17799为标准存在的安全风险,以及港口和海运存在的安全风险。
Risk Watch工具具有以下几个特点。
友好的用户界面。
预先定义的风险分析模板。
给用户提供高效、省时的风险分析和脆弱性评估。
数据关联功能。
经过证明的风险分析模型。
结语
在当下百花齐放的竞争环境,各行各业,乃至每个企业,都迫切形成甚至进化出了一套自身对抗风险的理论及工具,如在文章开头所提到的汽配行业,他们使用FMEA分析整个生产制造过程的每一环(由原材料输入到整车出库),分别从人,机,料,法,环等不同的维度,以严重度(Severity),频度(Occurrence),探测度(Detection)等三个主要的垂直向因素来测量,及达到不断降低每个制造过程的风险值的目的,以提高自身每个制程生产更多合格产品的能力。
当然也不能小看我们日常在麦当劳买的那些量大味美的鸡翅,他们的风险分析及管理是由结果逆向决定的。如为了避免鸡肉不熟导致的细菌超标这样的风险,且又要鸡翅带有金黄香脆的完美外观,生产商架起了像半个篮球场那么长的传送油炸锅,同时为其装备了精确的测温仪器,确保所有鸡翅在通过油炸锅后就得到了足够高温及时间的油炸操作,同时还达到了杀菌和美观目的。
当然还有上面提到的定性定量评估降低信息安全行业风险的做法,总之,各行各业都在持续往自己风险管控的弹药库里不断添增加各种武器弹药,唯有这样的不断的实践创新,我们才有可能找到风险管理与经济效益的完美平衡,做到料敌从宽,御敌从严,未雨绸缪,帮助社会长治久安,帮助公司组织奋楫向前。
作者介绍:
李晓文Van Li,CISSP (备战CPP中),先后在食品,汽配,银行卡/电子半导体制造等行业接触过不同管理体系,如ISO9001(质量管理),ISO22001(环境管理),TS16949(汽配质量管理),VISA/MASTER制造安全管理体系, 以及目前从事的ISO27001 信息安全管理体系的导入创建及维护工作。
在风险管理方面,我发现虽不同管理体系有自身的形式特点,但也存在一定的相似性,正好借这次征文的机会,结合一些以前看到的专业书籍和经验,做一些简单的总结介绍,希望在风险管理工作方面能给大家带来一些新思路或参考,如文中有不妥处,请随时指正,谢谢大家。
