下载掌阅APP,畅读海量书库
立即打开
信息系统本身存在一定的脆弱性,人为或者自然不可抗力的原因造成的威胁导致信息不安全事件随时有可能发生,发生之后所造成的影响就是信息安全风险。在信息安全风险管理中,信息安全风险的定义更加具体,是指组织的信息、信息系统及其赖以运行的基础网络等,由于可能存在的软硬件缺陷,或者信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。需要指出的是,如前文所述,广义的风险是中性的,既有有害风险也有有利风险,但信息安全风险评估过程中的风险主要指有害风险,即脆弱性和恶意威胁所导致的不利影响。
从风险的定义出发,信息安全风险可以用信息安全事件发生的可能性和发生之后造成的影响这两个指标来衡量,不仅仅取决于信息安全风险事故发生的概率,还与事故所造成的后果严重程度有关。信息安全风险包括人员、组织、物理环境、信息保密性、信息完整性、信息可用性、系统、通信操作、基础设施、业务连续性、第三方及法律决策等多个方面的风险。
GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》定义信息安全风险是特定威胁利用单个或一组资产脆弱性的可能性,以及由此可能给组织带来的损害。它以事态的可能性及其后果的组合来度量。
GB/Z 24364—2019《信息安全技术 信息安全风险管理指南》中定义信息安全风险是“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”。
通常,信息安全风险包括以下几种基本要素。
战略,即组织发展战略,是组织发展的方针,内容包括组织的属性及职能定位、发展目标、业务规划、竞争关系。发展战略的表现形式是多样的,其内容根据组织发展状况和外界情况会进行动态调整,并受政府、法律、法规、行业管控和监管、竞争关系等影响。
业务,即组织运用科学方法和生产工艺生产出可交付用户使用的产品与服务,并以此为组织带来利益的行为。
资产,指组织内具有一定价值的生产资料,包括软件、硬件、人员、信息与数据等有形资产,以及制度、文化等无形资产,是安全策略保护的对象。
脆弱性,指资产或资产组中能被威胁利用的弱点,如员工缺乏信息安全意识、使用简短或易被猜测到的口令、操作系统有安全漏洞等。
威胁,指促使信息安全事件发生的诱因,如计算机病毒、网络非法访问、恶意组织发起的攻击等。
风险,指脆弱性被威胁利用对资产或组织带来不良影响的可能性,即特定威胁事件发生的可能性与后果的综合影响。
安全措施,指为了保护资产、抵御威胁、改善脆弱性、妥善处理安全事件而采取的安全保护手段,如部署防火墙、IDS(Intrusion Detection System,入侵检测系统)等网络安全设备,以及实施涉密载体管理规范等管理手段。
在这些信息安全风险要素中,组织的战略实现依赖于业务,业务的开展需要具体的资产来支撑,资产具有一定的价值,在业务开展过程中具有不同的重要性,价值不高的、对业务不重要的资产自身重要性也不高。资产会暴露出脆弱性,资产本身及其所处环境如果存在能被利用的脆弱性,一旦脆弱性被威胁利用就有可能对资产造成破坏,增加风险,而风险会影响资产。为了防止脆弱性被威胁利用而造成安全事件,我们往往会依据安全需求采取一定的安全防护措施,以降低风险发生的可能性。安全措施可抵御威胁,控制风险,保障业务的正常开展,安全措施的实施要考虑需保障的业务及所应对的威胁。资产一旦遭到外部威胁的非法破坏,就会给拥有它的组织带来损害,这种损害可能很小,也可能很大,损害的大小与资产的重要性和脆弱性的严重程度相关。风险管理,应综合考虑业务、资产、脆弱性、威胁和安全措施等基本因素。