信息安全风险评估方法有两种:定量的方法和定性的方法。定量分析是试图从财务价值上对构成风险的各项要素(特别是资产)进行量化分析评估的一种方法,由于定量分析所依赖数据的可靠性和有效性很难保证,加之对数据统计缺乏长期性,所以,定量分析的方法在银行信息安全风险评估中并不常用,取而代之的是更容易实施的定性分析方法。定性风险评估并不一定要对构成风险的各个要素(特别是资产)进行精确的量化评价,它借助评估者的经验判断、业界惯例及银行自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出优先顺序即可。事实上商业银行最关心的是业务活动的持续性,对于影响业务活动持续性的各种风险问题,在有限的资源支持情况下,只需要抓住最突出的问题,有针对性地采取措施即可。
信息安全风险评估是依据有关的政策法规及商业银行相关信息技术标准,对系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行综合评估的活动过程。风险评估包括对信息资产的弱点、信息资产面临的威胁及其发生的可能性,以及弱点被威胁利用后所产生的负面影响,并根据安全事件发生的可能性和负面影响的程度来标识信息资产的安全风险。风险评估模型如图7-6所示。
注:该图来源于《GB/T 20984—2007.信息安全风险评估规范》。
在风险评估模型中,主要包含信息资产等级、弱点、威胁和风险4个要素,每个要素有各自的属性。信息资产的属性是资产价值;弱点的属性是弱点被威胁利用后对资产带来影响的严重程度;威胁的属性是威胁发生的可能性和历史发生频率;风险的属性是风险值的高低。因此风险评估及管理的过程是:
1)对信息资产进行分类,依据资产在不同安全属性(保密性、完整性及可用性)中所占权重的不同对资产进行赋值。(www.xing528.com)
2)识别信息资产的弱点,并对弱点的严重程度赋值。
3)对威胁进行评估,并对威胁发生的可能性和历史发生频率赋值。
4)计算信息资产的风险值,得到信息资产的风险级别,并对风险进行处置,选择合适的控制措施。
风险评估的结果是在对现有安全控制措施执行有效性评估的基础上,将评价得出的资产价值、威胁可能性和弱点严重性分别赋值,将三者赋值相乘,计算得出最终的风险值。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
