- 快捷搜索
- 全站搜索
5.信息安全风险管理
信息安全风险管理是实施ISMS过程中重要的一部分,整个体系的设计和实施都把风险评估的结果作为依据之一。
(1)确定风险评估方法。风险评估有不同的方法,在选择时需要注意:识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;制定接受风险的准则,识别可接受的风险级别;选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
(2)信息安全风险评估。信息安全风险评估具体步骤至少应该包括以下6个方面:识别ISMS范围内的资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别目前的控制措施;评估由主要威胁和脆弱性导致安全失误的可能性;识别丧失保密性、完整性和可用性可能对资产造成的影响。
按照确定的风险评估方法进行风险评估时,应确定清晰的范围,该范围应与ISMS的范围保持一致。风险评估的参与人员不但要包括信息安全方面的专家,也应该包括业务方面的专家,如条件允许,还可聘请外部专家。
GB/T 20984-2007《信息安全技术信息安全风险评估规范》是国内目前唯一关于信息安全风险评估的国家标准,其中给出了风险评估实施流程,见图2。
(3)信息安全风险处置。对于识别出的安全风险应予以处理,可以采用以下方式:风险减缓,即采用适当的控制措施来降低风险;风险接受,在明显满足组织方针策略和接受风险准则的条件下,有意识地、客观地接受风险;风险规避,在可能的情况下,避免某些特殊风险;风险转移,将相关业务风险转移到其他地方,如保险公司或供应商等。
在选择风险控制措施时应考虑到组织的目标、法律法规、政策和标准的要求和约束、信息系统运行的要求和约束、成本效益等。
6.体系设计
(1)设计安全组织机构。信息安全组织机构一般包括信息安全领导小组、信息安全工作组、信息联系人、专家与外部顾问等。
(2)设计信息安全培训。为了能够有效执行安全控制措施,员工应具备必要的基本技能和实践实施技能;设立具备安全管理机制的设计和运作的知识;应理解安全控制措施和目标。
(3)设计风险控制措施的实施。针对控制目标和控制措施,应该制定相应的实施计划,实施计划应包括:负责控制措施的实施人员和责任;被实施的控制措施的优先级;处理风险的对策;实施控制措施的任务或活动;实施控制措施的时间要求;控制措施实施完成后,应报告的人员;实施资源(人力、资源要求、费用等)。
(4)设计监视和测量。为保持信息安全的级别,应正确应用已被识别的信息安全控制措施,及时检测并解决安全事件,定期监视ISMS的执行情况。从信息安全角度看,应包括检查技术方面的控制措施和管理方面的控制措施是否符合要求。
监视是一个持续的过程,因此,设计时应考虑监视过程的建立以及设计实际监视的需要和活动。测量过程应与组织的ISMS周期紧密结合,测量程序应能不断改进组织或项目的安全相关的过程和结果。管理者应参与整个测量过程,实施测量过程时管理者应确认测量的要求、提供所需要的信息、提供测量工作相关保障。设计测量程序时必须考虑测量范围、测量要点、测量执行、测量周期、测量报告等。
(5)设计内部ISMS审核。应按照计划的时间间隔进行内部ISMS审核,以确定ISMS的控制目标、控制措施、过程和程序是否符合标准和相关法律法规的要求是否符合已经确定的信息安全要求;是否得到有效的实施和保持;是否按照预期执行。
应该在考虑拟审核的过程与区域的状况和重要性以及以往的审核结果的情况下制定审核方案。方案应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应该审核自己的工作。
(6)设计ISMS管理评审。管理者应按计划的时间间隔(至少每年一次)评审组织的ISMS,以确保其具有持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要,包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件,记录应加以保存。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信