1.與風(fēng)險管理有關(guān)的概念

風(fēng)險管理,以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)安全風(fēng)險的過程。

a.安全控制，降低安全風(fēng)險的慣例、程序或機制。

b.剩余風(fēng)險，實施安全控制后，剩余的安全風(fēng)險

c.適用性聲明，適用于組織需要的目標(biāo)和控制的評述

2.風(fēng)險評估與管理的術(shù)語關(guān)系圖

（其實，安全控制與薄弱點間、安全控制與資產(chǎn)間、安全風(fēng)險與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系）

3.風(fēng)險評估過程

a.風(fēng)險評估應(yīng)考慮的因素

（1）信息資產(chǎn)及其價值

（2）對這些資產(chǎn)的威脅，以及他們發(fā)生的可能性

（3）薄弱點

（4）已有的安全控制措施

b.風(fēng)險評估的基本步驟

（1）按照組織商務(wù)運作流程進(jìn)行信息資產(chǎn)識別， 并根據(jù)估價原則對資產(chǎn)進(jìn)行估價

（2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅識別與評價

（3）對應(yīng)每一威脅，對資產(chǎn)或組織存在的薄弱點 進(jìn)行識別與評價

（4）對已采取的安全控制進(jìn)行確認(rèn)

（5）建立風(fēng)險測量的方法及風(fēng)險等級評價原則， 確定風(fēng)險的大小與等級

4.資產(chǎn)識別與估價

資產(chǎn)識別時常應(yīng)考慮：（1）數(shù)據(jù)與文檔（2）書面文件（3）軟件資產(chǎn)（4）實物資產(chǎn)（5）人員（6）服務(wù)

5.資產(chǎn)估價的概念

資產(chǎn)估價是一個主觀的過程，資產(chǎn)價值不是以資產(chǎn)的賬面價格來衡量的，而是指其相對價值。在對資產(chǎn)進(jìn)行估價時，不僅要考慮資產(chǎn)的賬面價格，更重要的是考慮資產(chǎn)對于組織商務(wù)的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定。

6.ptv=pt*pv

式中  ptv——考慮資產(chǎn)薄弱點因素的威脅發(fā)生的可能性；

pt——未考慮資產(chǎn)薄弱點因素的威脅發(fā)生的可能性，即這一威脅發(fā)生可能性的組織、行業(yè)、地區(qū)或社會均值；

pv——資產(chǎn)的薄弱點被威脅利用的可能性

7.威脅的評價

評價威脅發(fā)生所造成的后果或潛在影響。不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對價值（或重要度）為限。

威脅的潛在影響i=資產(chǎn)相對價值v*價值損失程度cl

價值損失程度cl是一個小于等于1大于0的系數(shù)，資產(chǎn)遭受安全事故后，其價值可能完全喪失（即cl=1），但不可能對資產(chǎn)價值沒有任何影響（即cl≠0）。為簡化評價過程，可以用資產(chǎn)的相對價值代替其所面臨的威脅產(chǎn)生的影響，即用v代替i，讓cl=1。

8.風(fēng)險評估（重點）

①風(fēng)險測量方法—風(fēng)險大小和等級評價原則

風(fēng)險是威脅發(fā)生的可能性,薄弱點被威脅利用的可能性和威脅的潛在影響的函數(shù):                r=r(pt,pv,i)  

其中：r---資產(chǎn)受到某一威脅所擁有的風(fēng)險

例2-3  使用風(fēng)險矩陣表進(jìn)行測量（預(yù)先價值矩陣）

例2-4 二元乘法風(fēng)險測量，計算公式為：r=r(ptv,i)=ptv*i即利用威脅發(fā)生的真實可能性ptv和威脅的潛在影響i兩個因素來評價風(fēng)險，風(fēng)險大小為兩者因素值之乘積

例2-5 關(guān)于網(wǎng)絡(luò)系統(tǒng)的風(fēng)險測量舉例

r=r(ptv,i)=i*ptv=v*cl*ptv=v*(1-pd)*(1-po) 式中：v----系統(tǒng)的重要性       po---防止威脅發(fā)生的可能性 , ptv = 1-po

pd---防止系統(tǒng)性能降低的可能性, cl= 1-pd

例2-6,7可接受的和不可接受的風(fēng)險區(qū)分方法

③風(fēng)險優(yōu)先級別確定

例2-8 利用區(qū)間的方法將例2-1計算的風(fēng)險進(jìn)行等級劃分

9.安全控制的識別和選擇：

選擇依據(jù)①以風(fēng)險評估的結(jié)果為依據(jù)②以費用因素為依據(jù)

10.風(fēng)險控制：

降低風(fēng)險途徑①避免風(fēng)險,也稱規(guī)避風(fēng)險,屬去除威脅②轉(zhuǎn)移風(fēng)險③減少威脅④減少薄弱點⑤減少威脅可能的影響程度⑥探測有害事故，對其做出反應(yīng)并恢復(fù),屬及時捕捉威脅

11.基本的風(fēng)險評估

優(yōu)點：（1）風(fēng)險評估所需資源最少，簡便易行

（2）同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費很   大的精力。如果多個商業(yè)要求類似，并且在相同的環(huán)境中運作，這些控制可以提供一個經(jīng)濟有效的解決方案。

缺點：（1）如果安全水平被設(shè)置的太高，就可能需要過多的費用或控制過度；如果水平太低，對一些組織來說，可能會得不到充分的安全。（由于方法是基本的，不細(xì)，較粗，因此，評估結(jié)果可能也較粗，不夠精確，有一定的出入）

（2）對管理相關(guān)的安全進(jìn)行更改可能有困難。如一個信息安全管理體系被升級，評估最初的控制是否仍然充分就有一定的困難。

12.詳細(xì)的風(fēng)險評估 

優(yōu)點：（1）能獲得一個更精確的安全風(fēng)險的認(rèn)識，從而更為精確地識別反映組織安全要求的安全水平。

（2）可以從詳細(xì)的風(fēng)險評估中獲得額外信息，使與組織更改相關(guān)的安全管理受益。

缺點：（1）需要非常仔細(xì)制訂被評估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運作、信息和資產(chǎn)邊界，需要管理者持續(xù)關(guān)注，因而需要花費相當(dāng)?shù)臅r間、精力和技術(shù)才能獲得可行的結(jié)果。

（2）不能把一個系統(tǒng)的控制方案簡單移植到另一個系統(tǒng)中，甚至是一個以為類似的系統(tǒng)中。.

13.風(fēng)險評估和管理方法的選擇應(yīng)考慮的因素

⑴商務(wù)環(huán)境

⑵商務(wù)性質(zhì)和重要性

⑶對支持組織商務(wù)的信息系統(tǒng)的技術(shù)性和非技術(shù)性的依賴