ISO27001信息安全风险的管理是关于实现和维护信息系统机密性、完整性和可用性的与安全相关的所有方面,理想的安全风险标准应该是一个集成的、一致的、可分析的、切合实际的、成本效益平衡的方法。从信息安全风险管理分类的介绍可以看出,信息安全风险除安全技术风险外,还涉及安全政策、标准、意识、战略等方面。
ISO27001信息安全风险分类不仅要考虑风险发生的可能性和由此而引起的可能后果,而且要在单一风险基础上,同时考虑各项风险之间的相互关系,对综合安全风险进行分析和评估。论文从信息安全科学的角度,在对上述安全风险管理标准的比较基础上,综合环境、人员、管理、技术、法律、经济等系统风险问题,把信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。
1.人员风险
由于组织缺乏人员安全管理、明确的职责和意识教育,内部无意或恶意人员的失误或攻击,以及来自外部恶意或好奇人员或组织的攻击,会使组织业务面临大的风险。
2.组织风险
如果组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因,使组织在信息安全管理方面处于失控状态,加大了信息安全风险。
3.物理环境风险
由于缺乏对组织场所的安全保卫,或是防水、防火、防雷等保护措施,在面临偷盗、自然灾难时,有时会造成极大的损失。
4.信息机密性/完整性风险
信息是组织信息技术系统装载的业务数据,是一种非常重要价值的资产,甚至一些观点认为信息是组织的血液,是“一种在资产负债表之外,经过逐渐积累的,可以被用来提升组织竞争优势的信息”。同实物资产相比,信息非常分散并且易于复制,是组织业务流程的重要输入和输出数据,比如客户资料、产品设计等,如果得不到正确的识别、评估、保存和管理,就面临可能被窃取、损毁、丢失的风险,不但使依赖于这些关键信息的核心业务造成严重损坏,还会对组织的信誉、声望造成巨大损失,甚至会摧毁整个组织。
信息风险管理,主要是保证信息的机密性、完整性和可用性。
5.系统风险
通常所用的计算机操作系统,以及大量应用软件在组织业务交流中的使用,尤其是定制应用产品,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,尤其是多个应用系统互联时,影响会涉及整个组织的多个系统。比如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题,有时会在系统升级和安装补丁时引入较高的风险。
系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。
6.通信操作风险
如果在通讯加密、应用分区、防病毒、IDS 等安全措施出现技术或管理问题时,被攻击者利用后,会引发信息安全风险。
7.基础设施风险
基础设施包括支撑业务应用系统的网络(局域网、广域网、互联网、专线网、无线网)、硬件(服务器、主机、应用终端、共享设备)、物理环境,它们是组织业务赖以生存的基础(如电力、WEB服务器、数据库服务器等),一旦出现故障或中断,它所承载的应用也会出现问题或停顿。
基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。
8.业务连续性风险
依赖于信息系统服务的组织关键业务可能因系统的“宕机”而中断,或是因系统服务效能的降低(如响应时间过长)造成新客户的流失或老客户的转移。
业务连续性风险,要求机构具备信息技术服务、安全事件处理和灾难恢复能力。
9.第三方合作风险
第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。
第三方合作风险要求在合同谈判、转换服务上加强风险管理。
10.风险评估风险
如果不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果,造成风险决策出现失误。
11.法律风险
在信息系统的运行过程中,由于不知晓国家法律,或是明知故犯,使组织面临由于个人隐私泄露所造成的风险。
12.决策风险
应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心,也是最终的目标。如果在风险分析、评估、控制方面不能全面、科学反映组织的安全状态,决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受四个方面进行权衡决策,避免决策失误。