信息安全

1.信息安全是指信息的保密性、完整性、可用性和真實性的保持。

2、信息安全的重要性

a.信息安全是國家安全的需要

b.信息安全是組織持續發展的需要

c.信息安全是保護個人隱私與財產的需要

3、如何確定組織信息安全的要求

a.法律法規與合同要求

b.風險評估的結果(保護程度與控制方式)

c.組織的原則、目標與要求

4.我國在信息安全管理方面存在的問題

宏觀：（1）法律法規問題。健全的信息安全法律法規體系是確保國家信息安全的基礎,是信

息安全的第一道防線.

（2）管理問題。（包括三個層次：組織建設、制度建設和人員意識）

（3）國家信息基礎設施建設問題。目前,中國信息基礎設施幾乎完全是建立在外國的核心信

息技術之上的,導致我國在網絡時代沒有制網權.

微觀：（1）缺乏信息安全意識與明確的信息安全方針。

（2）重視安全技術，輕視安全管理。

（3）安全管理缺乏系統管理的思想。

5.系統的信息安全管理原則：制訂信息安全方針原則;風險評估原則;費用與風險平衡原則;預

防為主原則;商務持續性原則;動態管理原則;全員參與的原則;PDCA原則

6、系統信息安全管理與傳統比較

系統的信息安全管理是動態的、系統的、全員參與的、制度化的、預防為主的信

息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業

務的連續性，它完全不同于傳統的信息安全管理模式：靜態的、局部的、少數人

負責的、突擊式的、事后糾正式的，不能從根本上避免、降低各類風險，也不

能降低信息安全故障導致的綜合損失，商務可能因此癱瘓，不能持續。

6.與風險評估有關的概念

a.威脅,是指可能對資產或組織造成損害的事故的潛在原因。

b.薄弱點,是指資產或資產組中能被威脅利用的弱點。

威脅與薄弱點的關系：威脅是利用薄弱點而對資產或組織造成損害的.

c.風險,即特定威脅事件發生的可能性與后果的結合。

d.風險評估,對信息和信息處理設施的威脅、影響和薄弱點及三者發生的可能性評估.它是確

認安全風險及其大小的過程,即利用適當的風險評估工具,確定資產風險等級和優先控制順序,

所以,風險評估也稱為風險分析.

7.與風險管理有關的概念

風險管理,以可接受的費用識別、控制、降低或消除可能影響信息系統安全風險的過程。

a.安全控制，降低安全風險的慣例、程序或機制。

b.剩余風險，實施安全控制后，剩余的安全風險

c.適用性聲明，適用于組織需要的目標和控制的評述

8.風險評估與管理的術語關系圖

（其實，安全控制與薄弱點間、安全控制與資產間、安全風險與資產間、威脅與

資產間均存在有直接或間接的關系）

風險管理

風險評風險控制降低風險

威脅

利用

薄弱點

防范導致暴露導致

安全控制安全風險資產

達到指出增加具有

安全要求

資產價值和

潛在影響

降低

9.風險評估過程

a.風險評估應考慮的因素

（1）信息資產及其價值

（2）對這些資產的威脅，以及他們發生的可能性

（3）薄弱點

（4）已有的安全控制措施

b.風險評估的基本步驟

（1）按照組織商務運作流程進行信息資產識別，并根據估價原則對資產進行估價

（2）根據資產所處的環境進行威脅識別與評價

（3）對應每一威脅，對資產或組織存在的薄弱點進行識別與評價

（4）對已采取的安全控制進行確認

（5）建立風險測量的方法及風險等級評價原則，確定風險的大小與等級

10.資產識別與估價

資產識別時常應考慮：（1）數據與文檔（2）書面文件（3）軟件資產（4）實物資

產（5）人員（6）服務

11.資產估價的概念

資產估價是一個主觀的過程，資產價值不是以資產的賬面價格來衡量的，而是指其相對價值。

在對資產進行估價時，不僅要考慮資產的賬面價格，更重要的是考慮資產對于組織商務的重

要性，即根據資產損失所引發的潛在的商務影響來決定。

12.P

TV

=P

T

*P

V

式中P

TV

——考慮資產薄弱點因素的威脅發生的可能性；

P

T

——未考慮資產薄弱點因素的威脅發生的可能性，即這一威脅發生可能性的組織、

行業、地區或社會均值；

P

V

——資產的薄弱點被威脅利用的可能性

13.威脅的評價

評價威脅發生所造成的后果或潛在影響。不同的威脅對同一資產或組織所產生的影響不同，

即導致的價值損失也不同，但損失的程度應以資產的相對價值（或重要度）為限。

威脅的潛在影響I=資產相對價值V*價值損失程度C

L

價值損失程度C

L

是一個小于等于1大于0的系數，資產遭受安全事故后，其價值可能完全

喪失（即C

L

=1），但不可能對資產價值沒有任何影響（即C

L

≠0）。為簡化評價過程，可以

用資產的相對價值代替其所面臨的威脅產生的影響，即用V代替I，讓C

L

=1。

14.風險評估（重點）

①風險測量方法—風險大小和等級評價原則

風險是威脅發生的可能性,薄弱點被威脅利用的可能性和威脅的潛在影響的函數:

R=R(PT,PV,I)

其中：R---資產受到某一威脅所擁有的風險

例2-3使用風險矩陣表進行測量（預先價值矩陣）

例2-4二元乘法風險測量，計算公式為：R=R(PTV,I)=PTV*I即利用威脅發生的真實可能性

PTV和威脅的潛在影響I兩個因素來評價風險，風險大小為兩者因素值之乘積

例2-5關于網絡系統的風險測量舉例

R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO)式中：V----系統的重要性

PO---防止威脅發生的可能性,PTV=1-PO

PD---防止系統性能降低的可能性,CL=1-PD

例2-6,7可接受的和不可接受的風險區分方法

③風險優先級別確定

例2-8利用區間的方法將例2-1計算的風險進行等級劃分

15.安全控制的識別和選擇：

選擇依據①以風險評估的結果為依據②以費用因素為依據

16.風險控制：

降低風險途徑①避免風險,也稱規避風險,屬去除威脅②轉移風險③減少威脅④減少薄弱點

⑤減少威脅可能的影響程度⑥探測有害事故，對其做出反應并恢復,屬及時捕捉威脅

17.基本的風險評估

優點：（1）風險評估所需資源最少，簡便易行

（2）同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費很大的精

力。如果多個商業要求類似，并且在相同的環境中運作，這些控制可以提供一個經濟有效的

解決方案。

缺點：（1）如果安全水平被設置的太高，就可能需要過多的費用或控制過度；如果水平太低，

對一些組織來說，可能會得不到充分的安全。（由于方法是基本的，不細，較粗，因此，評

估結果可能也較粗，不夠精確，有一定的出入）

（2）對管理相關的安全進行更改可能有困難。如一個信息安全管理體系被升級，評估

最初的控制是否仍然充分就有一定的困難。

18.詳細的風險評估

優點：（1）能獲得一個更精確的安全風險的認識，從而更為精確地識別反映組織安全要求

的安全水平。

（2）可以從詳細的風險評估中獲得額外信息，使與組織更改相關的安全管理受益。

缺點：（1）需要非常仔細制訂被評估的信息系統范圍內的商務環境、運作、信息和資產邊

界，需要管理者持續關注，因而需要花費相當的時間、精力和技術才能獲得可行的結果。

（2）不能把一個系統的控制方案簡單移植到另一個系統中，甚至是一個以為類似的

系統中。.

19.風險評估和管理方法的選擇應考慮的因素

⑴商務環境

⑵商務性質和重要性

⑶對支持組織商務的信息系統的技術性和非技術性的依賴

⑷商務及其支持系統、應用軟件和服務的復雜性

⑸商業伙伴和外部業務以及合同關系的數量

20.風險管理實施慣例

十大最佳安全控制慣例:安全方針安全組織資產分類人員安全實物與環境安全通信與運

作管理訪問控制系統開發與維護商務持續性管理依從(或稱符合性)