信息安全风险管理 | 第1套

先决条件 – 威胁建模
风险，其实不过是资产、威胁与脆弱性之间的交集而已。
 

A+T+V = R

NIST SP 800-30《信息技术从业者风险管理指南》将风险定义为：某个威胁源利用特定漏洞的可能性，以及该负面事件对组织造成的潜在影响。
因此，风险评估的主要组成部分包括：
 

• 威胁
• 脆弱性
• 损失/潜在损失
• 发生的可能性，即某个事件——比如，某个威胁成功利用漏洞的情况——发生的概率。

威胁指的是那些能够故意或无意地利用漏洞来破坏或损害某物的东西。资产资产可以是任何东西，比如人、财产或信息。我们所试图保护的，就是这些资产；而我们所试图防范的，则是那些威胁到这些资产的威胁因素。脆弱性指的是我们在保护方面的不足或弱点。
威胁来源这是一种故意或无意中利用漏洞或危险情况的方法。例如，恶意软件可能会附着在病毒或蠕虫上，然后通过包含该病毒的电子邮件传播到其他计算机上。如果发送者在不了解附件或链接的恶意目的的情况下就分享了这些邮件，那么这就属于无意的威胁来源；而如果是出于故意的目的，那么这就属于有意的威胁来源了。
处理风险的全过程可以划分为以下几个阶段：
 

1. 背景设定
2. 风险评估
   
   • 风险识别
   • 风险评估
   • 风险评估
3. 风险管理/风险缓解
   
   • 风险假设
   • 风险规避
   • 风险限制
   • 风险规划
   • 研究与致谢
   • 风险转移
4. 风险沟通
5. 风险监控与评估
6. 信息技术评估与测评

1. 背景建立 – 
在这一步中，需要获取有关该组织的详细信息，以及风险管理活动的相关标准、目的、范围与界限。除了这些数据之外，还需要了解负责实施风险管理活动的相关机构的详细信息。
为了深入了解该组织的使命、价值观、组织结构、战略以及其所在地区的文化环境，我们对其进行了深入的研究。
组织的各种限制因素，如预算、文化、政治和技术方面的限制，都需要被收集和记录下来，作为后续行动的参考依据。
在负责风险管理活动的组织中，该部门的主要角色可以定义为：
 

1. 高级管理层
2. 首席信息官
3. 系统和信息的所有者
4. 业务与职能管理人员
5. 信息系统安全官员（ISSO）或首席信息安全官（CISO）
6. 信息技术安全专家
7. 安全意识培训师

信息安全风险管理 | 第二部分