專利名稱:風險控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制風險,或者為定性風險評估和消減的、特別的、但決不排它的應(yīng)用的方法和系統(tǒng)。
背景技術(shù):
基本上,存在兩種風險分析方法定性的和定量的。定性風險分析為能夠用來確定應(yīng)用、系統(tǒng)、設(shè)施、或者其它企業(yè)資產(chǎn)所要求的保護水平的一種技術(shù)。在資產(chǎn)(asset)、威脅(threat)和弱點(vulnerability)的系統(tǒng)審查期間,小組將能夠建立威脅發(fā)生的可能性、如果它們確實發(fā)生時損失的成本以及為了將威脅和弱點降低到可接受的水平而設(shè)計的安全措施或者對策的價值。定性方法論僅試圖將主觀條款中各種各樣的風險要素區(qū)分優(yōu)先次序。
定量風險分析試圖獨立地將客觀的數(shù)字值分配到風險分析的組分以及到潛在損失的水平。當所有的要素(資產(chǎn)價值、威脅頻率、安全措施效力、安全措施成本、不確定性和可能性)都被量化時,該過程被認為是定量的。
這兩種方法各自的優(yōu)點和缺點可以總結(jié)如下
大部分現(xiàn)有的風險評估模型為定性的;基于所感知的威脅度量風險且不通過數(shù)學方法定量。然而,由于威脅的感知因評估員而異,由定性方法得到的風險評估往往是不一致的,因此使得結(jié)果不可靠且不可用。
各種各樣現(xiàn)有技術(shù)的特點如下。
1.10步定性風險分析(QRA)這種方法的十個步驟是i.展開范圍說明;ii.集合交叉職能的有資格的小組來評估風險;iii.識別所有的威脅(按照中介、動機和結(jié)果刻畫);iv.將威脅區(qū)分優(yōu)先次序(由一個強大的組);v.評估影響優(yōu)先權(quán);vi.計算總的威脅影響;vii.識別安全措施;viii.相對于成本和效力,對控制作成本-利益分析;ix.安全措施按照優(yōu)先權(quán)的順序排列;以及x.準備風險分析報告,包括因而,例如,一個概念上的風險分析報告可能包括下列各項
這種技術(shù)構(gòu)成所有現(xiàn)有風險評估的基礎(chǔ)構(gòu)成風險分析組、在風險評估期間討論威脅及其影響以及使用對策來消減風險。
2.3步定性風險分析(QRA)這種方法的三個步驟是i.資產(chǎn)估價;ii.風險評價;以及iii.風險管理。
這種方法概念上的結(jié)果可能包括
這是第一種上文所提及的方法的微小修改,在其中,只要可能,就使用記分系統(tǒng)。建議1.5至2年的重新評估間隔。
3.信息安全風險分析(ISRA)這種方法的三個步驟是i.創(chuàng)建風險分析矩陣(根據(jù)完整性、靈敏性和可用性);ii.選擇基于風險的控制;以及iii.文件的準備。
一個概念上的風險分析矩陣可能為
數(shù)據(jù)
這種方法難以使用,并且需要用戶具有一定的專長。另外,該分析不是基于資產(chǎn)或系統(tǒng)的。
4.弱點分析(Vulner)這種方法具有五個步驟i.集合內(nèi)部專家或風險分析組;ii.展開范圍說明;iii.在定義上達成一致意見;iv.驗證小組對該過程的理解;以及v.計算風險。
因而,與每個人的因素相關(guān)聯(lián)的風險的可能評估可以是
這套方法分析了關(guān)于在評估區(qū)域工作的人(作為資產(chǎn)看待)的部門的弱點。然而,在評估能夠開始之前,必須在定義上達成一致意見。
5.危險影響分析(Hazard Impact Analysis)這種方法與方法4類似,但是基于資產(chǎn)類別而不是資產(chǎn)的。例如,它可能產(chǎn)生下列輸出
這種方法識別威脅并度量有關(guān)人、財產(chǎn)和業(yè)務(wù)的影響。識別現(xiàn)有的內(nèi)部及外部控制以消減各個威脅。
6.威脅分析(Thread Analysis)根據(jù)這種方法i.集合內(nèi)部專家或風險分析組;ii.展開范圍說明;iii.在定義上達成一致意見;iv.驗證小組對該過程的理解;以及v.如果威脅發(fā)生,基于對操作的影響實施風險分析。
例如,可能得到下列結(jié)論
這種方法評估在指定的環(huán)境中的操作風險。
7.調(diào)查問卷(Questionnaire)根據(jù)這種方法,編制了一系列問題來度量服從現(xiàn)有的企業(yè)政策、程序、標準、或者其它規(guī)則。
8.單一時間損失算法(Single Time L0ss Algorithm)根據(jù)這種方法確定單一時間損失(STL),其中STL=(總的資產(chǎn)價值+意外執(zhí)行成本+數(shù)據(jù)恢復(fù)成本)×發(fā)生的可能性+(一周延遲的成本)。
單一時間損失用來作為影響值度量。
9.便利的風險分析過程(FRAP)
這種方法包括i.定義審查的范圍;ii.為FRAP過程集合代表;iii.定義違反數(shù)據(jù)完整性、機密性和可用性的威脅;iv.基于弱點和業(yè)務(wù)影響的程度創(chuàng)建優(yōu)先矩陣;三個交付結(jié)果物包括風險識別、風險優(yōu)先級區(qū)分、關(guān)于主要風險所建議的控制。能夠選擇一列26個控制組(例如,備份、恢復(fù)計劃、訪問控制),并且該方法允許為了驗證目的的項目追蹤和交叉檢驗。
一個可能的優(yōu)先矩陣可以是
這種方法涉及在一個時間分析一個系統(tǒng)、應(yīng)用、或者業(yè)務(wù)操作的一部分。相對于威脅和弱點度量系統(tǒng)故障的可能影響,等等。然后識別控制以消減威脅。
10.風險評估和管理(Risk Assessment and Management)在這種方法中,由暴露的年度損失期望(ALE)度量威脅影響?;趩我粨p失期望(SLE)和年度發(fā)生率(AR0)度量ALE。SLE定義為關(guān)于威脅事件的每次發(fā)生的預(yù)期的貨幣損失;ARO定義為在一年的基礎(chǔ)上,威脅發(fā)生的統(tǒng)計率;基于單一損失期望(SLE)度量BIA。
至少在每年的基礎(chǔ)上獲得年度發(fā)生率(ARO)的統(tǒng)計信息。
11.整體風險管理(Integrated Risk Management)這種方法包括i.分離信息的保管人(custodian)和使用者;ii.定義基本的必要事件(例如,任務(wù)和責任定義、數(shù)據(jù)分類和庫存管理);以及iii.以整體的方式管理風險。
在這種方法中,信息安全包含物理的和邏輯的數(shù)據(jù)訪問控制的使用,以確保數(shù)據(jù)的適當使用以及禁止對自動化資產(chǎn)未經(jīng)許可的或者意外的修改、毀壞、透露、損失、或者訪問。風險分析識別并評估與法人信息相關(guān)聯(lián)的風險并定義成本效率高的方法來管理這樣的風險。
這種方法引進信息的保管人和使用者的概念。證明通過風險評估、將會實現(xiàn)業(yè)務(wù)連續(xù)性和信息安全控制。業(yè)務(wù)連續(xù)性作為模塊取出,與典型的風險評估分開。相對于總的項目成本、財政影響、顧客影響、規(guī)章/服從影響度量系統(tǒng)的潛在影響??蛇x擇地,能夠相對于信息分類和最長可容忍的運轉(zhuǎn)中斷度量這種影響。
相對于時間靈敏性(在高峰期間最長可容忍的運轉(zhuǎn)中斷周期)、無形損失(健康及安全、顧客滿足、困窘)和有形損失(財政的)度量業(yè)務(wù)影響損失。
然而,所有現(xiàn)有的風險評估模型都假定(不論明確地還是含蓄地)將集合一個有資格的交叉部門的小組來評估風險。然而,實際上常?;蛘哂蒊T技術(shù)支持組或者由業(yè)務(wù)所有者進行評估,因此導致威脅和可用控制的不完全理解。當關(guān)于實施風險評估的責任變得不清楚時,結(jié)果就變得不可靠。
此外,當風險評估的量增加時,評估員在評估過程中妥協(xié)是很普遍的。當評估是基于定性的時候,尤其如此。這種妥協(xié)可能是由于人的因素和時間限制。
發(fā)明內(nèi)容
因此,本發(fā)明在第一個廣泛的方面,提供一種用于在組織內(nèi)評估風險的方法,包括定義一個或多個區(qū)域,所述一個或多個區(qū)域的每一個包括一個環(huán)境;識別所述組織的一個或多個資產(chǎn),所述資產(chǎn)的每一個位于所述區(qū)域的分別的一個中;對于所述資產(chǎn)的每一個實施各個影響評估,每個評估包括評估所述各個資產(chǎn)的損失影響;對于所述區(qū)域的每一個實施各個區(qū)域風險評估,包括評估與在所述各個相應(yīng)的區(qū)域內(nèi)放置各個資產(chǎn)相關(guān)聯(lián)的風險水平;對于每個資產(chǎn)實施各個資產(chǎn)風險評估,包括評估與不依賴于所述各個資產(chǎn)的各自的區(qū)域的所述各個資產(chǎn)相關(guān)聯(lián)的風險水平;以及在至少所述影響評估、所述區(qū)域風險評估和所述資產(chǎn)風險評估的基礎(chǔ)上評估風險。
因而,資產(chǎn)能夠為具有價值的任何東西。該方法因此能夠用來產(chǎn)生風險評估作為輸出。當最后的步驟由計算機執(zhí)行時,計算機能夠輸出這個評估。
更適宜地,該方法包括識別一個或多個資產(chǎn)保管人,每個包括各個資產(chǎn)的保管人,以及識別一個或多個資產(chǎn)所有者,每個包括分別的所述資產(chǎn)的一個或多個的所有者。
保管人典型地為具有照管責任的一些雇員。在IT環(huán)境中,保管人可能為技術(shù)管理組或者項目管理組、這樣的小組的一個單獨成員;保管人可以是擔當自動化或手動的文件或數(shù)據(jù)庫的看管者的雇員。資產(chǎn)所有者典型地(盡管并不一定)為支付該資產(chǎn)的人;在許多情形,它可能是業(yè)務(wù)的所有者。然而,通常,它為對于定義安全政策以及資產(chǎn)的安全和系統(tǒng)需求具有全部責任,并且能夠批準有關(guān)資產(chǎn)的安全控制執(zhí)行計劃的人。它可能為最終用戶。
更適宜地,該方法包括維護所述資產(chǎn)的注冊。更適宜地,所述注冊包括所述資產(chǎn)的每一個的各自的所有者。
更適宜地,該方法包括維護所述區(qū)域的注冊。更適宜地,所述注冊包括所述區(qū)域的每一個的各自的保管人。
在一個實施例中,所述資產(chǎn)的每一個都是信息相關(guān)的,例如用于數(shù)據(jù)操作或存儲的材料和裝備。
在這個實施例中,所述資產(chǎn)保管人的每一個都是信息保管人,每個包括在所述組織內(nèi),各個信息存儲裝置的保管人。
更適宜地,該方法包括定義至少四種類型的保管人1)物質(zhì)和環(huán)境保管人、2)網(wǎng)絡(luò)保管人、3)軟件工程保管人以及4)MIS支持保管人。
更適宜地,所述各個區(qū)域評估的每一個由所述各個區(qū)域各自的保管人實施。
更適宜地,所述各個資產(chǎn)評估的每一個由所述各個資產(chǎn)各自的所有者實施。
更適宜地,該方法包括將資產(chǎn)損失看作是所述資產(chǎn)為其一部分的系統(tǒng)的損失的等價物。
更適宜地,該方法包括關(guān)于每個資產(chǎn)確定度量風險,關(guān)于各個資產(chǎn)的所述度量風險包括1)在所述影響評估中確定的影響水平和2)在所述資產(chǎn)風險評估中確定的資產(chǎn)風險及在所述區(qū)域風險評估中確定的資產(chǎn)風險的最大值的乘積。
在另一個廣泛的方面,本發(fā)明提供一種風險管理方法,包括根據(jù)上文所描述的方法評估風險;以及管理所述風險。
更適宜地,所述風險的管理包括確定資產(chǎn)數(shù)量的分布為相關(guān)聯(lián)的度量風險的函數(shù);確定最高可接受的風險水平;以及如果所述資產(chǎn)的任何一個超過所述最高可接受的風險水平,則應(yīng)用一個或多個控制。
更適宜地,可接受的風險水平包括最高可利用的度量風險或100%的較低者。
在另一個廣泛的方面,本發(fā)明提供用于在組織內(nèi)評估風險的設(shè)備,包括數(shù)據(jù)輸入部件,用于輸入資產(chǎn)信息到資產(chǎn)注冊中,所述資產(chǎn)的每一個都為所述組織的資產(chǎn),所述資產(chǎn)的每一個都位于各自的區(qū)域;數(shù)據(jù)存儲器,用于存儲所述資產(chǎn)注冊,包括關(guān)于所述資產(chǎn)的每一個的所述各個區(qū)域;用于接收或存儲關(guān)于所述區(qū)域的每一個的各個區(qū)域風險評估的部件,所述各個區(qū)域風險評估包括與在所述各個相應(yīng)的區(qū)域內(nèi)放置各個資產(chǎn)相關(guān)聯(lián)的風險水平的評估;用于接收或存儲關(guān)于每個資產(chǎn)的各個資產(chǎn)風險評估的部件,所述各個資產(chǎn)風險評估包括與不依賴于所述各個資產(chǎn)的各自的區(qū)域的所述各個資產(chǎn)相關(guān)聯(lián)的風險水平的評估;用于接收或存儲關(guān)于所述資產(chǎn)的每一個的各個影響評估,每個評估包括評估所述各個資產(chǎn)的損失影響,以及用于在至少所述影響評估、所述區(qū)域風險評估和所述資產(chǎn)風險評估的基礎(chǔ)上評估風險,以因此形成風險評估的部件;以及輸出部件,用于輸出所述風險評估。
當然,用于接收或存儲各個區(qū)域風險評估的設(shè)備、用于接收或存儲各個資產(chǎn)風險評估的設(shè)備和用于接收或存儲各個影響評估的設(shè)備可能作為單一的整體而提供(例如數(shù)據(jù)輸入或數(shù)據(jù)存儲設(shè)備)。
典型地,這些數(shù)值將會分別準備并輸入到設(shè)備中。然而,任選地,該設(shè)備可能包括數(shù)據(jù)處理設(shè)備,用于形成區(qū)域和資產(chǎn)風險評估以及,再次任選地,影響評估,用于確定或用于幫助確定這些因素。然后,這些因素將存儲在各個接收或存儲設(shè)備中。
更適宜地,該設(shè)備是可操作的,以將資產(chǎn)保管人與所述資產(chǎn)的每一個聯(lián)系起來,每個包括各個資產(chǎn)的保管人,以及將至少一個資產(chǎn)所有者與所述資產(chǎn)的每一個聯(lián)系起來,每個包括分別的所述資產(chǎn)的一個或多個的所有者。
更適宜地,資產(chǎn)注冊包括所述資產(chǎn)的每一個的各個所有者。
更適宜地,該設(shè)備包括用于存儲所述區(qū)域的注冊的數(shù)據(jù)存儲器。
更適宜地,區(qū)域注冊包括用于將各個保管人與所述區(qū)域的每一個聯(lián)系起來的數(shù)據(jù)。
更適宜地,所述資產(chǎn)的每一個都是信息相關(guān)的。
更適宜地,所述各個區(qū)域評估的每一個由所述各個區(qū)域的各個保管人實施,并且更適宜地,各個資產(chǎn)評估的每一個可能由各個資產(chǎn)的各個所有者實施。
更適宜地,該設(shè)備是可操作的,以將資產(chǎn)損失當作所述資產(chǎn)為其一部分的系統(tǒng)的損失的等價物來看待。
更適宜地,該設(shè)備是可操作的,以確定關(guān)于每個資產(chǎn)的度量風險,關(guān)于各個資產(chǎn)的所述度量風險包括1)在所述影響評估中確定的影響水平和2)在所述資產(chǎn)風險評估中確定的資產(chǎn)風險及在所述區(qū)域風險評估中確定的資產(chǎn)風險的最大值的乘積。
為了實行上文所提及的方法,本發(fā)明同樣提供了具有在計算機上可執(zhí)行的軟件部分的計算機易讀媒體。
為了可以更加清楚地了解本發(fā)明,給出例子與附圖,現(xiàn)將描述優(yōu)選實施例,其中圖1是闡明根據(jù)本發(fā)明的優(yōu)選實施例,風險評估方法的六個主要階段的流程圖;圖2是根據(jù)圖1的方法,不同種類的區(qū)域之間的關(guān)系的示意性描述;圖3是根據(jù)圖1的方法,具有特定的度量風險水平(MRL)的資產(chǎn)數(shù)量(NA)相對于度量風險水平的繪圖的示意性描述;圖4A是與圖3類似的視圖,另外顯示今天的“安全線”;圖4B是與圖4A類似的視圖,表明在一段預(yù)先定義的時間之后圖4A分布的可能退化;圖4C是圖4B的一個可選擇的視圖,表明假如已經(jīng)采取了風險消減措施,則在一段預(yù)先定義的時間之后,該分布的可能演化;圖5因而是根據(jù)圖1的方法,關(guān)于新系統(tǒng)的增加的步驟的流程圖;圖6是根據(jù)圖1的方法,關(guān)于現(xiàn)有系統(tǒng)的升級的步驟的流程圖;圖7是根據(jù)圖1的方法,關(guān)于系統(tǒng)或資產(chǎn)的移除的步驟的流程圖;圖8因而是根據(jù)圖1的方法,關(guān)于現(xiàn)有區(qū)域的升級的步驟的流程圖;圖9是根據(jù)圖1的方法,關(guān)于區(qū)域的移除的步驟的流程圖;圖10是根據(jù)圖1的方法,關(guān)于新的威脅和控制的增加的步驟的流程圖;圖11是根據(jù)圖1的方法,在一個主要的形式凍結(jié)之后所采取的步驟的流程圖;和圖12是用于在實現(xiàn)圖1的方法中使用的數(shù)據(jù)庫設(shè)計的示意性視圖。
具體實施例方式
現(xiàn)將根據(jù)本發(fā)明的優(yōu)選實施例,詳細地描述用于評估組織的風險的評估方法。
該方法包括建立四個標準1)資產(chǎn)/信息分類、2)資產(chǎn)盤存、3)任務(wù)和責任以及4)保管人和用戶識別。
使用下列假設(shè)威脅是明確的并且與資產(chǎn)類型相關(guān)聯(lián);可能性(威脅的)能夠基于人口統(tǒng)計;以及風險管理是一個多決策過程。
根據(jù)這個實施例,“資產(chǎn)”定義為對于組織有價值的并且信息相關(guān)的任何東西,包括用于數(shù)據(jù)操作或存儲的材料和裝備。
資產(chǎn)的廣泛分類包括1)人、2)軟件、3)服務(wù)、4)媒體、5)物質(zhì)的、6)信息以及7)操作系統(tǒng)。每個資產(chǎn)分類進一步歸類于各個資產(chǎn)類型;該方法包括在一個資產(chǎn)類型下注冊所有的資產(chǎn),其包括1)人承包者、內(nèi)部職員或雇員;
2)軟件定制的應(yīng)用軟件、開發(fā)的軟件、審計軟件、現(xiàn)成的應(yīng)用軟件;3)服務(wù)第三方便利設(shè)施;4)媒體紙張文檔、計算機媒體;5)物質(zhì)的加密設(shè)施、移動裝置、網(wǎng)絡(luò)裝置、辦公室裝備、服務(wù)器、工作站、硬件管理裝備、物質(zhì)的審計工具;6)信息業(yè)務(wù)信息、配置信息、財政信息、個人信息;以及7)操作系統(tǒng)O/S非Windows、0/S Windows。
因而,例如,信息分類指與公司的慣例和文化一致的信息靈敏性的不同等級。該方法包括在一個信息分類范疇下將所有的信息分類。
以適當?shù)乃袡?quán)注冊所有的資產(chǎn)。資產(chǎn)所有者定義為支付資產(chǎn)的人。無論何時,存在任何資產(chǎn)的增加、修改以及刪除時,就會更新資產(chǎn)注冊。
該方法更適宜地,通過由執(zhí)行管理部門、信息安全組、技術(shù)管理組、項目管理組、業(yè)務(wù)所有者和審計員組成的交叉功能組來實施。
執(zhí)行管理部門的責任是1)關(guān)于信息安全,設(shè)立管理意圖和業(yè)務(wù)目的、2)設(shè)立影響損失貨幣比例、3)證實風險消減所需要的保險度、4)審查并批準風險評估和管理報告、5)審查并批準風險降低措施、6)審查并批準異議報告以及7)審查控制執(zhí)行進展。
信息安全組的責任是1)審查并對威脅頻率達成一致意見、2)發(fā)展關(guān)于信息分類的基準線作為法人管制、3)維護威脅和控制數(shù)據(jù)庫、4)審查風險評估和管理報告、5)審查風險降低措施以及6)審查控制執(zhí)行進展。
技術(shù)管理組的責任是1)注冊該組的資產(chǎn)到資產(chǎn)注冊中、2)進行有關(guān)責任的各個領(lǐng)域的風險評估、3)審查并提議有效的對策以及4)后續(xù)追蹤控制執(zhí)行進展。
項目管理組的責任1)注冊該組的資產(chǎn)到資產(chǎn)注冊中、2)進行有關(guān)責任的各個領(lǐng)域的風險評估、3)審查并提議有效的對策以及4)后續(xù)追蹤控制執(zhí)行進展。
業(yè)務(wù)所有者的責任是1)注冊資產(chǎn)到資產(chǎn)注冊中、2)進行有關(guān)單獨資產(chǎn)的評估、3)審查并提議有效的對策以及4)后續(xù)追蹤控制執(zhí)行進展。
審計員的責任是1)審查風險評估和管理報告、2)審查異議報告以及3)對不規(guī)則的風險分布模式進行審查。
根據(jù)組織的信息安全管理系統(tǒng)(ISMS),這些團體的每一個都參與風險評估。每個團體因而具有其適當定義的任務(wù)和責任。
根據(jù)該方法,分別識別信息保管人和所有者?;谒x的任務(wù)和責任,保管人典型地包括技術(shù)管理組和項目管理組;所有者包括業(yè)務(wù)所有者。
保管人因而典型地為擔當自動或手動的文件或數(shù)據(jù)庫的照管者的雇員。該方法定義四種類型的保管人,即1)物質(zhì)和環(huán)境保管人、2)網(wǎng)絡(luò)保管人、3)軟件工程保管人以及4)MIS支持保管人。
物質(zhì)和環(huán)境保管人為照管環(huán)境區(qū)域的物質(zhì)福利的那些人。這一般指辦公室管理員和物質(zhì)安全管理員。
網(wǎng)絡(luò)保管人是照管組織網(wǎng)絡(luò)的那些人。這一般指LAN和WAN管理員以及網(wǎng)絡(luò)安全管理員。
軟件工程保管人是為組織開發(fā)和維護軟件應(yīng)用的那些人。這一般指軟件項目管理者和項目組領(lǐng)導者。
MIS支持保管人是維護有關(guān)系統(tǒng)的適當運轉(zhuǎn)的操作的那些人。這一般指系統(tǒng)管理員、數(shù)據(jù)庫管理員和數(shù)據(jù)中心管理者。
信息的所有者為具有由信息的所有者所準予的指定的有限權(quán)力,以查看、改變、增加、發(fā)布或者刪除這樣的信息的個人。這包括業(yè)務(wù)所有者。注意到保管人可能也擁有資產(chǎn)。在這樣的情形,他們可能也是業(yè)務(wù)所有者。
該方法作為六階段過程進行,其中保管人和所有者從開始就分開。廣泛來講,保管人進行區(qū)域評估,而所有者進行資產(chǎn)評估。核對獨立的評估并且基于該評估產(chǎn)生結(jié)果。
參照圖1,六個階段可以總結(jié)如下。
第一階段區(qū)域注冊(2)理論上,評估員應(yīng)該能夠基于現(xiàn)有控制評估風險,但是證據(jù)已經(jīng)表明-由于像工作專門化和責任以及交叉部門的關(guān)系這樣的因素-評估員經(jīng)常面臨評估與他們對其無預(yù)先的知識或不精通的問題相關(guān)聯(lián)的風險的令人沮喪的任務(wù)。這首先是因為風險評估是一個多用戶決策過程。
研究也已經(jīng)證明不同的團體將牽涉進保證任何信息資產(chǎn)安全。一個團體確定環(huán)境,而資產(chǎn)所有者將他們的信息資產(chǎn)放置到該環(huán)境中,這是一個普遍的作法。
本方法使用區(qū)域概念來著手解決這個問題。區(qū)域定義為所構(gòu)建的包含資產(chǎn)的環(huán)境。根據(jù)該方法,注冊在組織內(nèi)所有相關(guān)的區(qū)域。
該方法認可四個區(qū)域,即1)物質(zhì)和環(huán)境區(qū)域、2)網(wǎng)絡(luò)區(qū)域、3)軟件工程區(qū)域以及4)MIS支持區(qū)域。應(yīng)注意到,這些對應(yīng)于上文所描述的保管人。
物質(zhì)和環(huán)境區(qū)域為用來物質(zhì)地保護放置于其中的資產(chǎn)的環(huán)境。這個區(qū)域的保管人典型地為辦公室管理員或者物質(zhì)安全管理員。
網(wǎng)絡(luò)區(qū)域為用來限制對該網(wǎng)絡(luò)的訪問以保證那個資產(chǎn)的可訪問性的環(huán)境。這個區(qū)域的保管人典型地為WAN管理員和網(wǎng)絡(luò)安全管理員。
軟件工程區(qū)域為用來為組織開發(fā)和維護軟件的環(huán)境。這個區(qū)域的保管人典型地為軟件項目管理者和項目組領(lǐng)導者。
MIS支持區(qū)域為用來維護系統(tǒng)以確保系統(tǒng)的可操作性的環(huán)境。這個區(qū)域的保管人典型地為系統(tǒng)管理員、數(shù)據(jù)庫管理員和數(shù)據(jù)中心管理者。
由于大部分區(qū)域保護設(shè)計成分層的,該方法使用區(qū)域繼承。參照圖2,在周邊區(qū)域(14)中控制實現(xiàn)的這種方法由更加內(nèi)部的區(qū)域(16)繼承并且類似地,也由最里面的信賴區(qū)域(18)繼承。根據(jù)該方法,區(qū)域繼承在物質(zhì)和環(huán)境區(qū)域以及在網(wǎng)絡(luò)區(qū)域?qū)嵭小?br>
第二階段資產(chǎn)注冊(4)在資產(chǎn)注冊階段(4),為了風險評估和管理核對資產(chǎn)。該方法摹擬在這個階段引進服務(wù)和系統(tǒng)概念的實際系統(tǒng)模型,并且因此提高了在資產(chǎn)管理和維護中的效力和效率。
在這個階段,根據(jù)本方法,“服務(wù)”定義為為了完成業(yè)務(wù)交付所需要的系統(tǒng)的結(jié)合,而“系統(tǒng)”定義為組分(定義為“資產(chǎn)”)的結(jié)合以實現(xiàn)一個功能。依靠這種模型,注冊所有的資產(chǎn)(包括不基于IT的資產(chǎn))。因而能夠表示性地捕獲服務(wù)、系統(tǒng)和組分之間的復(fù)雜關(guān)系。
能夠從下列簡單的例子看到這些定義互相作用的方式。商業(yè)對商業(yè)(B2B)服務(wù)(即,“服務(wù)”)可能由網(wǎng)絡(luò)服務(wù)器(“系統(tǒng)”)、應(yīng)用服務(wù)器(又一個“系統(tǒng)”)和數(shù)據(jù)庫服務(wù)器(又一個“系統(tǒng)”)組成。網(wǎng)絡(luò)服務(wù)器由CPU硬件(分類“物質(zhì)的”的“資產(chǎn)”,類型“硬件”)、操作系統(tǒng)(分類“軟件”的“資產(chǎn)”)、網(wǎng)絡(luò)主機軟件(分類“軟件”的“資產(chǎn)”)、信息網(wǎng)頁(分類“信息”的“資產(chǎn)”)和B2B功能規(guī)范文檔(分類“媒體”的“資產(chǎn)”)組成。
可選擇地,網(wǎng)絡(luò)服務(wù)(“服務(wù)”)可能由防火墻系統(tǒng)(“系統(tǒng)”)和網(wǎng)絡(luò)系統(tǒng)(又一個“系統(tǒng)”)組成。網(wǎng)絡(luò)系統(tǒng)可能由網(wǎng)絡(luò)交換機(分類“物質(zhì)的”的“資產(chǎn)”)、網(wǎng)絡(luò)路由器(同樣為分類“物質(zhì)的”的“資產(chǎn)”)、路由器固件(分類“軟件”的“資產(chǎn)”)和路由配置(分類“信息”的“資產(chǎn)”)組成。
作為又一個例子,部門服務(wù)(“服務(wù)”)可能由幾個部門組(每一個都為“系統(tǒng)”)組成。每個組可能包括不同的職務(wù)(每一個為分類“人”的“資產(chǎn)”)。在另一個例子中,設(shè)施服務(wù)(“服務(wù)”)可能由電力系統(tǒng)(“系統(tǒng)”)和空調(diào)系統(tǒng)(又一個“系統(tǒng)”)組成。電力系統(tǒng)可能包括不可中斷的動力供給(分類“硬件”的“資產(chǎn)”)和電能(分類“服務(wù)”的“資產(chǎn)”)。
當注冊系統(tǒng)時,也指定相關(guān)的區(qū)域。這方便了隨后的區(qū)域評估。例如,網(wǎng)絡(luò)服務(wù)器將最終被描述為位于物質(zhì)區(qū)域和網(wǎng)絡(luò)區(qū)域,由操作和開發(fā)組維護。
然而,提供物質(zhì)和網(wǎng)絡(luò)對策的資產(chǎn)將不被注冊為分別具有物質(zhì)和網(wǎng)絡(luò)區(qū)域。
根據(jù)該方法,當注冊資產(chǎn)時,根據(jù)它們的資產(chǎn)類型指定它們。
如果資產(chǎn)類型為信息分類,則需要根據(jù)信息靈敏性分類進一步定義它。系統(tǒng)繼承存儲在該系統(tǒng)內(nèi)的最高靈敏性信息的靈敏性,并且傳播到不基于信息的該資產(chǎn)的其余部分。按照先前網(wǎng)絡(luò)服務(wù)器的例子,如果信息的靈敏性標記是機密的,則該系統(tǒng)的其余部分,包括CPU硬件和虛擬主機軟件,將繼承該機密標記。
第三階段系統(tǒng)影響評估(6)
影響評估為,假若總的單一資產(chǎn)損失發(fā)生,度量總影響的過程,不依賴于其它的損失。如早先所定義的,根據(jù)該方法,假定任何組分的故障將導致系統(tǒng)的總故障。因此,該方法在系統(tǒng)的水平上實施影響評估。然而,系統(tǒng)的一個故障可能不致使整個服務(wù)發(fā)生故障。
該方法-在這個階段期間-考慮到五個標準1)機會的損失、2)生產(chǎn)力的損失、3)由于規(guī)章違反引起的損失、4)系統(tǒng)投資的成本以及5)信息分類等級。
此外,在影響評估過程中,該方法總是假設(shè)最壞的情形。
機會的損失既指在系統(tǒng)不可用時期貨幣收益的損失又指潛在的將來損失。
生產(chǎn)力的損失為在系統(tǒng)不可用時期,用戶效率的損失和組織內(nèi)恢復(fù)的成本。
由于規(guī)章違反引起的損失為由于服務(wù)水平協(xié)議或者法規(guī)的違反引起的合同或者/和立法支出的成本。
系統(tǒng)投資的成本為重建一個完全相同的系統(tǒng)的成本。
信息分類等級指存儲在系統(tǒng)中的最高的合計的信息分類。
機會的損失、生產(chǎn)力的損失、由于規(guī)章違反引起的損失和系統(tǒng)投資的成本都作為貨幣指數(shù)而計算。這樣的貨幣指數(shù)的例子如下
貨幣比例將因組織而異。分配最高的貨幣指數(shù)值給ISMS范圍的總的估價損失。從由組織定義的數(shù)字開始,每個比例增值為先前兩個的倍數(shù)。
根據(jù)組織的目的和目標加權(quán)每個標準,而權(quán)重的和合計達100%。這反映了五個標準的相對重要性。權(quán)重由管理部門基于業(yè)務(wù)焦點和管理意圖而定義。
基于這些標準評估每個系統(tǒng),并且使用下列公式計算總的影響估價
在該系統(tǒng)下的資產(chǎn)繼承該系統(tǒng)的影響股估價。
下表定義在評價與組織的不同組分相關(guān)聯(lián)的系統(tǒng)影響中考慮的標準。這是為了在輸入系統(tǒng)影響權(quán)重的那些中確保一致性。
Y由管理部門確定;它依賴于組織的服務(wù)或產(chǎn)量。
第四階段區(qū)域評估(8a)在區(qū)域評估階段(8a),第四階段的兩個部分的第一部分,基于所執(zhí)行的安全控制的數(shù)量估計操作環(huán)境。評估的目的為當在環(huán)境中放置資產(chǎn)時,評估風險水平。如上文所提及的,四個區(qū)域類別為物質(zhì)和環(huán)境的、網(wǎng)絡(luò)、軟件工程以及MIS支持?;趨^(qū)域類別的性質(zhì)自動地連結(jié)相關(guān)的威脅;這極大地降低了評估員在不得不單獨審查涉及該區(qū)域的每個威脅的適宜性中的額外負擔。
基于人口統(tǒng)計的標準、業(yè)務(wù)活動的性質(zhì)和組織的文化,每個威脅與威脅發(fā)生的可能性相關(guān)聯(lián)??赡苄员环峙湟粋€百分比概率。
每個威脅與能夠被采用來管理風險的一列安全措施相關(guān)聯(lián)。為了區(qū)別不同安全控制的強度,進一步加權(quán)這些措施。一般地,根據(jù)如下的這種方法計算控制的效力
在針對威脅而執(zhí)行的安全解決方案數(shù)量的基礎(chǔ)上確定與每個區(qū)域相關(guān)聯(lián)的風險的程度。不止一個威脅可能會與一個區(qū)域相關(guān)聯(lián),因此該方法包括假定最弱的安全連接為具有最高風險暴露的威脅。因而ZRL=MAX(1-Σ(SIi×SWi)Σ(SWi)×LO)×100%.]]>這里ZRL=區(qū)域風險水平,SI=解決方案執(zhí)行,SW=解決方案權(quán)重,以及LO=發(fā)生的可能性。
根據(jù)資產(chǎn)靈敏性標記,基準線控制反映為強制性的,因此評估員能夠區(qū)別強制性的和任選性的控制,導致降低風險中更清楚的目的。
為效率起見,該方法包括允許評估員將特定的區(qū)域評估應(yīng)用到擁有完全相同的控制的相關(guān)區(qū)域,從而使評估員所需要的努力簡化有效。
第四階段資產(chǎn)風險評估(8b)根據(jù)該方法,在資產(chǎn)風險評估階段(8b),基于所執(zhí)行的安全控制的數(shù)量估計資產(chǎn)。該評估的目的是不依賴于區(qū)域,評估資產(chǎn)的風險水平。由于每個資產(chǎn)都具有相關(guān)聯(lián)的資產(chǎn)類型且資產(chǎn)類型具有其相關(guān)的威脅,每個資產(chǎn)都自動地連接到其相關(guān)聯(lián)的威脅;這降低了在不得不單獨審查涉及該資產(chǎn)的每個威脅的適宜性中評估員的額外負擔。
如上,基于人口統(tǒng)計的標準、業(yè)務(wù)活動的性質(zhì)和組織的文化,每個威脅與威脅發(fā)生的可能性相關(guān)聯(lián)并表示為一個概率。
與在區(qū)域風險評估(參看上文)中一樣,在資產(chǎn)風險評估中的每個威脅具有能夠被采用來管理風險的一列安全措施。為了區(qū)別不同安全控制的強度,進一步加權(quán)這些措施。如上文所討論,計算控制的效力。
基于相對于威脅所執(zhí)行的安全解決方案的數(shù)量,以與上文在“區(qū)域風險評估”下所描述的可比較的方式度量與每個資產(chǎn)相關(guān)聯(lián)的風險的程度。因此,資產(chǎn)風險水平確定如下ARL=MAX(1-Σ(SIi×SWi)Σ(SWi)×LO)×100%.]]>這里ARL=資產(chǎn)風險水平,SI=解決方案執(zhí)行,SW=解決方案權(quán)重,以及LO=發(fā)生的可能性。
根據(jù)資產(chǎn)靈敏性標記,基準線控制反映為強制性的,因此評估員能夠區(qū)別強制性的和任選性的控制,導致降低風險中更清楚的目的。
為了提高效率,該方法也允許評估員將特定的資產(chǎn)評估應(yīng)用到擁有完全相同的控制的相關(guān)資產(chǎn)。
使用下列公式,基于總影響和風險水平評估每個資產(chǎn)。
度量風險=總的影響×MAX(ARL,ZRL).
第五階段風險管理(10)到此為止,不存在風險管理的固定方法并且許多組織嚴重地依賴于管理部門提供一些應(yīng)該如何管理風險的指示。然而,管理部門可能不知道如何改進他們組織的信息安全管理系統(tǒng)或者ISMS,并且事實上在作關(guān)于如何管理風險的決定上需要指導。此外,現(xiàn)有技術(shù)的風險管理模型不具有連續(xù)改進的特征。
該方法包括關(guān)于風險管理過程的六西格瑪(sixsigma)概念。然而,應(yīng)該注意到該方法僅使用六西格瑪概念的某些部分且有些修改。通過使用這種途徑,該方法能夠被用來幫助組織識別需要立刻注意的潛在的高風險資產(chǎn),因此隨時維護組織的安全效力。
因而,根據(jù)該方法,相對于他們的度量風險水平將所有的資產(chǎn)列成表格。相對于度量風險水平繪制具有任何特定的度量風險水平(MRL)的資產(chǎn)的數(shù)量(NA);這在圖3中示意性地示出。將領(lǐng)悟到,可能有必要將NA的值的范圍分組成適當大小的域。由于它是二維的,度量風險分布將為鐘形曲線(即,影響水平、資產(chǎn)/區(qū)域風險水平)。
圖4A是NA相對于MRL的另一個示意性表示。垂直線(20)為今天的“安全線”,其標記最高可用的度量風險或100%,任何一個較低的。該方法包括假定今天可利用的資產(chǎn)是充分地受保護的。
由于科技和其它的進步,一些資產(chǎn)可能由于控制不足和失效變?yōu)楸┞兜?。參照圖4B,資產(chǎn)將趨向于在MRL上增加直到最初的分布(22)右移(即,朝著MRL的較高值的方向)到新的分布(24)。因此,在一段預(yù)先定義的時間之后,接近或者在今天的安全線(20)上的資產(chǎn)可能不再為安全的,并且于是處于今天的安全線(20)的高側(cè)(26)。
因而,應(yīng)該審查接近或者在今天的安全線(20)上的資產(chǎn),因為在一段定義的時間之后,它們可能不安全。更多的控制應(yīng)該相應(yīng)地被應(yīng)用以致及時解決風險暴露以及使得對于所定義的一段時間,取代分布變?yōu)閳D4B的新分布(24),其變?yōu)?,比方說,如圖4C中所示的修改后的分布(28)。該修改后的分布(28)可能與最初的分布(22)不同,但是它具有所期望的充分地保護所有資產(chǎn)的特性。
因而,基于右移1.5σ的標準六西格瑪概念計算,閾值標記所推薦的保險度。為了風險消減,加亮強調(diào)在保險度之上的資產(chǎn)。為了消減的目的,關(guān)于執(zhí)行進程,使得一系列基于區(qū)域或/和資產(chǎn)的控制可用。
根據(jù)該方法,公知的是,下列參數(shù)可能隨時間改變1)控制的效力、2)威脅頻率、3)新控制以及4)新威脅。
控制的效力可能由于人的智力進步而改變。
威脅頻率可能由于在一個或多個特定的領(lǐng)域中政治或社會的穩(wěn)定性的改變而改變。
新控制可能由于風險消減技術(shù)或方法的新進步而改變。
新威脅可能由于影響組織當前信息安全的新技術(shù)的引進而改變。
因而,根據(jù)本方法,至少在每年的基礎(chǔ)上實施連續(xù)的風險評估以維護ISMS的效力。
第六階段項目追蹤(12)風險評估不是在選擇用于風險消減的控制時停止,而是恰恰僅在已經(jīng)執(zhí)行了控制之后。因此,追蹤在風險管理階段期間安排執(zhí)行的每個控制。
應(yīng)該注意到本方法將計劃的控制當作未執(zhí)行的控制看待。僅完成和證實了的控制被看作是執(zhí)行的控制。
在這個階段期間,捕獲信息(如對控制執(zhí)行負責的人、執(zhí)行方法、執(zhí)行的成本和努力、估計的和實際的執(zhí)行開始和結(jié)束日期)。
事件流程這個實施例的方法是事件驅(qū)動的,并且對知識庫或者資產(chǎn)注冊的影響將導致根據(jù)該方法計算出的結(jié)果的改變。
該方法在下列條件下將具有一個影響(即,執(zhí)行一個任務(wù))1)新系統(tǒng)的增加;2)現(xiàn)有系統(tǒng)的升級;3)系統(tǒng)或資產(chǎn)的移除;4)新區(qū)域的增加;5)現(xiàn)有區(qū)域的升級;6)區(qū)域的移除;7)對新威脅和控制的數(shù)據(jù)庫的增加;以及8)形式。
1.新系統(tǒng)的增加新系統(tǒng)作為將增加到環(huán)境中的新項目的一部分而提出。
為了風險評估,這樣的新系統(tǒng)在兩個階段結(jié)合于本方法投標前系統(tǒng)規(guī)劃和投標后系統(tǒng)規(guī)劃。
在投標前系統(tǒng)規(guī)劃時期,未來的所有者不一定知道詳細的資產(chǎn)將是什么。因此,在系統(tǒng)的水平,通過調(diào)查問卷,進行風險評估?;谡{(diào)查問卷,相應(yīng)于系統(tǒng)的信息種類的相關(guān)威脅和強制性的控制于是展示給未來的所有者。
一旦固定了系統(tǒng)配置,投標前系統(tǒng)規(guī)劃信息就轉(zhuǎn)換成投標后系統(tǒng)規(guī)劃信息。該系統(tǒng)被標記為非生產(chǎn)的,以致計算將與環(huán)境內(nèi)的實際系統(tǒng)保持分開。用戶再次驗證評估輸入以確保數(shù)據(jù)有效性。
實行這點以確保能夠適當?shù)匾?guī)劃新系統(tǒng)并且確保當發(fā)動時,系統(tǒng)安全準備就緒是恰當?shù)摹?br>
圖5因而為根據(jù)本方法,關(guān)于新系統(tǒng)的增加的步驟的流程圖。
2.現(xiàn)有系統(tǒng)的升級當現(xiàn)有系統(tǒng)被作為新服務(wù)發(fā)動的一部分而重新使用時,通常增加新資產(chǎn)到現(xiàn)有系統(tǒng)。
本方法所考慮的所有的現(xiàn)有系統(tǒng)都將受到影響。相關(guān)的現(xiàn)有系統(tǒng)相應(yīng)地被復(fù)制并被看作為計劃的系統(tǒng),以致不破壞現(xiàn)有系統(tǒng)配置。為了風險評估,復(fù)制的系統(tǒng)連接到附加的資產(chǎn)。一旦完成了評估,復(fù)制的系統(tǒng)就取代數(shù)據(jù)庫中的現(xiàn)有系統(tǒng)。
由于潛在的輸入復(fù)雜性和完整性,不存在計劃資產(chǎn)特征;因而,數(shù)據(jù)破壞風險被最小化。
圖6是根據(jù)本方法,關(guān)于現(xiàn)有系統(tǒng)的升級的步驟的流程圖。
3.系統(tǒng)或資產(chǎn)的移除由于過時或者磨損和拆毀,現(xiàn)有系統(tǒng)或資產(chǎn)可能被移除。
無除了被移除的系統(tǒng)或資產(chǎn)之外的系統(tǒng)或資產(chǎn)受到影響。然而,總的風險管理統(tǒng)計可能由于移除而改變。因而,由于每個資產(chǎn)都對總的風險管理結(jié)果有貢獻,可能需要風險管理結(jié)果和進一步風險降低的審查。
圖7是根據(jù)本方法,關(guān)于系統(tǒng)或資產(chǎn)的移除的步驟的流程圖。
4.區(qū)域的增加可能提出一個新的區(qū)域作為新環(huán)境的一部分。對任何資產(chǎn)都不存在影響,直到分配一個資產(chǎn)到新區(qū)域,由于區(qū)域是一個環(huán)境并且只要該環(huán)境不包含任何資產(chǎn),就不牽涉風險。
5.現(xiàn)有區(qū)域的升級然而,如果升級現(xiàn)有區(qū)域(可能由于現(xiàn)有控制的革新或不足),在被升級的區(qū)域內(nèi)的系統(tǒng)將會受到影響。這是因為在被升級的區(qū)域內(nèi)的系統(tǒng)自動地繼承在該區(qū)域內(nèi)所執(zhí)行的控制。
圖8因而是根據(jù)本方法,關(guān)于現(xiàn)有區(qū)域的升級的步驟的流程圖。
6.區(qū)域的移除由于,例如,位置移動,現(xiàn)有區(qū)域可能被移除。在該區(qū)域內(nèi)的系統(tǒng)將會受到影響,因為這樣的系統(tǒng)將不再具有操作的環(huán)境。因此,該方法包括重新安置這樣的系統(tǒng)到另一個區(qū)域以便隨后的操作。
因而,圖9是根據(jù)本方法,關(guān)于區(qū)域的移除的步驟的流程圖。
7.新威脅和控制的增加當增加新的威脅和控制到組織的數(shù)據(jù)庫(為了執(zhí)行這個實施例的方法而維護的)時,僅隨后注冊的新資產(chǎn)將會受到影響。
根據(jù)本方法,由于使得評估員每次存在更新時都在新的威脅和控制下重新估價資產(chǎn)是不切實際的,將僅只在由管理員起動的主要形式凍結(jié)之后估價現(xiàn)有資產(chǎn)的任何糾紛。重新評估發(fā)生在每次形式刪減時是更切實際的,其被建議為至少一年一次。新資產(chǎn)會受到影響,因為他們是新近增加的,根據(jù)安全最佳實踐,使用最新近可利用的威脅和解決方案評估系統(tǒng)是很重要的。
圖10是根據(jù)本方法,關(guān)于新威脅和控制的增加的步驟的流程圖。
8.在主要的形式凍結(jié)之后的影響管理員可以對風險評估數(shù)據(jù)庫起動主要的形式凍結(jié)(例如在每年的基礎(chǔ)上)。按照最當前的威脅和控制重新估價所有的現(xiàn)有資產(chǎn)。然后重新計算新的風險管理閾值。
由于威脅和控制隨時間改變,本方法為連續(xù)評估方法論。確保評估員在規(guī)則的基礎(chǔ)上對現(xiàn)有資產(chǎn)進行風險評估因而是很關(guān)鍵的。
圖11是根據(jù)本方法,在主要的形式凍結(jié)之后所采取的步驟的流程圖。
執(zhí)行細節(jié)本方法設(shè)計為與BS7799/ISO17799 ISMS一致。使用BS7799控制參考序號,該方法將控制分成兩類,基礎(chǔ)結(jié)構(gòu)和特定的。
基礎(chǔ)結(jié)構(gòu)控制為用于設(shè)立ISMS所需要的基本的控制。下列控制被認為是基本的。
特定的控制為作為風險評估管理過程的一部分而可選擇的控制。特定的控制然后被劃分成區(qū)域控制和資產(chǎn)控制。
區(qū)域控制定義為被應(yīng)用到<區(qū)域>中以保護<資產(chǎn)類型>的<安全控制>。
每個資產(chǎn)控制定義為應(yīng)用到<資產(chǎn)類型>的<安全控制>。
為了使用本方法,使用具有相關(guān)聯(lián)的數(shù)據(jù)庫(其可能為分布式的)的計算機系統(tǒng);該數(shù)據(jù)庫有兩個部分安全知識庫和操作信息。安全知識庫包含用于威脅的供給和對注冊的信息資產(chǎn)的控制的數(shù)據(jù)集。操作信息指注冊的資產(chǎn)和關(guān)系到該資產(chǎn)的安全的相關(guān)信息。
安全知識庫包含有關(guān)資產(chǎn)分類類型、區(qū)域威脅、資產(chǎn)威脅和安全控制的信息。安全知識庫也包含資產(chǎn)分類類型和威脅之間的聯(lián)接以及威脅和安全控制之間的聯(lián)接。
操作信息包含有關(guān)資產(chǎn)注冊、其影響評估、區(qū)域威脅及其相關(guān)的所執(zhí)行的控制、資產(chǎn)威脅及其相關(guān)的所執(zhí)行的控制、風險管理控制和執(zhí)行進程的信息。
在圖12中,示意性地示出了數(shù)據(jù)庫設(shè)計在這個圖中,安全知識庫存儲在數(shù)據(jù)庫的左邊,操作信息在數(shù)據(jù)庫的右邊。
由于本方法使用連續(xù)評估,其效力依賴于安全知識庫的更新。在規(guī)則的基礎(chǔ)上,新的和修改后的威脅以及相關(guān)的控制都更新到安全知識庫中,其反過來更新操作信息。
在這個數(shù)據(jù)庫中的數(shù)據(jù)是高靈敏的,因此組織既具有完全的所有權(quán)又具有訪問控制和傳輸安全是很重要的。根據(jù)用戶的訪問權(quán),訪問控制幫助確保用戶責任,并且也限制了信息訪問。傳輸安全幫助防止靈敏信息的偷聽。
訪問控制訪問控制用來防止意外的信息修改以及未經(jīng)許可的用戶查看靈敏信息。
創(chuàng)建具有一組支配系統(tǒng)資源的使用的特權(quán)的工作組。分配給每個用戶一個工作組。在工作組內(nèi),用戶彼此信任并對彼此的信息具有完全的控制。工作組之間不能夠共享信息。
傳輸安全使用安全套接字層(SSL)來保證一個或多個瀏覽器之間的信息交換的傳輸安全并且使用中央服務(wù)器來執(zhí)行該方法。
術(shù)語表
結(jié)論上文所描述的進行風險評估的方法因而是一種定量風險評估方法。這個方法的依從或者優(yōu)點如下
本領(lǐng)域技術(shù)人員可以很容易地實現(xiàn)在本發(fā)明范圍內(nèi)的修改。因此,可以理解,本發(fā)明不局限于由在上文的例子所描述的特殊的實施例。
權(quán)利要求
1.一種用于在組織內(nèi)評估風險的方法,包括定義一個或多個區(qū)域,所述一個或多個區(qū)域的每一個包括一個環(huán)境;識別所述組織的一個或多個資產(chǎn),所述資產(chǎn)的每一個位于所述區(qū)域的分別的一個中;對于所述資產(chǎn)的每一個實施分別的影響評估,每個評估包括評估所述各個資產(chǎn)損失的影響;對于所述區(qū)域的每一個實施分別的區(qū)域風險評估,包括評估與在所述各個相應(yīng)的區(qū)域內(nèi)放置各個資產(chǎn)相關(guān)聯(lián)的風險水平;對于每個資產(chǎn)實施分別的資產(chǎn)風險評估,包括評估與不依賴于所述各個資產(chǎn)的各自的區(qū)域的所述各個資產(chǎn)相關(guān)聯(lián)的風險水平;以及在至少所述影響評估、所述區(qū)域風險評估和所述資產(chǎn)風險評估的基礎(chǔ)上評估風險。
2.如權(quán)利要求1所述的方法,包括識別一個或多個資產(chǎn)保管人,每個包括各個資產(chǎn)的保管人,且識別一個或多個資產(chǎn)所有者,每個包括所述各個資產(chǎn)的一個或多個的所有者。
3.如權(quán)利要求2所述的方法,其中所述保管人的每一個都為具有照管責任的雇員。
4.如權(quán)利要求1所述的方法,包括維護所述資產(chǎn)的注冊。
5.如權(quán)利要求4所述的方法,其中所述注冊包括所述資產(chǎn)的每一個的各個所有者。
6.如權(quán)利要求1所述的方法,包括維護所述區(qū)域的注冊。
7.如權(quán)利要求6所述的方法,其中所述注冊包括所述區(qū)域的每一個的各個保管人。
8.如權(quán)利要求1所述的方法,其中所述資產(chǎn)的每一個都是信息相關(guān)的。
9.如權(quán)利要求2所述的方法,其中所述資產(chǎn)的每一個都是信息相關(guān)的,并且所述資產(chǎn)保管人的每一個都是信息保管人,每個包括在所述組織內(nèi)各個信息存儲裝置的保管人。
10.如權(quán)利要求9所述的方法,包括定義至少四種類型的保管人1)物質(zhì)和環(huán)境保管人、2)網(wǎng)絡(luò)保管人、3)軟件工程保管人以及4)MIS支持保管人。
11.如權(quán)利要求2所述的方法,其中所述各個區(qū)域評估的每一個都由所述各個區(qū)域各自的保管人實施。
12.如權(quán)利要求2所述的方法,其中所述各個資產(chǎn)評估的每一個都由所述各個資產(chǎn)各自的所有者實施。
13.如權(quán)利要求1所述的方法,包括將資產(chǎn)的損失看作是所述資產(chǎn)為其一部分的系統(tǒng)的損失的等價物。
14.如權(quán)利要求1所述的方法,包括確定關(guān)于每個資產(chǎn)的度量風險,關(guān)于各個資產(chǎn)的所述度量風險包括1)在所述影響評估中確定的影響水平和2)在所述資產(chǎn)風險評估中確定的資產(chǎn)風險及在所述區(qū)域風險評估中確定的資產(chǎn)風險的最大值的乘積。
15.如權(quán)利要求2所述的方法,其中所述保管人中沒有一個為所有者。
16.一種用于在組織內(nèi)評估風險的設(shè)備,包括數(shù)據(jù)輸入部件,用于輸入資產(chǎn)信息到資產(chǎn)注冊中,所述資產(chǎn)的每一個都為所述組織的資產(chǎn),所述資產(chǎn)的每一個都位于各自的區(qū)域;數(shù)據(jù)存儲器,用于存儲所述資產(chǎn)注冊,包括關(guān)于所述資產(chǎn)的每一個的所述各個區(qū)域;用于接收或存儲關(guān)于所述區(qū)域的每一個的各個區(qū)域風險評估的部件,所述各個區(qū)域風險評估包括與在所述各個相應(yīng)的區(qū)域內(nèi)放置各個資產(chǎn)相關(guān)聯(lián)的風險水平的評估;用于接收或存儲關(guān)于每個資產(chǎn)的各個資產(chǎn)風險評估的部件,所述各個資產(chǎn)風險評估包括與不依賴于所述各個資產(chǎn)的各自的區(qū)域的所述各個資產(chǎn)相關(guān)聯(lián)的風險水平的評估;用于接收或存儲關(guān)于所述資產(chǎn)的每一個的各個影響評估,每個評估包括評估所述各個資產(chǎn)損失的影響,以及用于在至少所述影響評估、所述區(qū)域風險評估和所述資產(chǎn)風險評估的基礎(chǔ)上評估風險,從而形成風險評估的部件;以及輸出部件,用于輸出所述風險評估。
17.如權(quán)利要求16所述的設(shè)備,其中所述設(shè)備是可操作的,以將資產(chǎn)保管人與所述資產(chǎn)的每一個聯(lián)系起來,每個包括各個資產(chǎn)的保管人,以及將至少一個資產(chǎn)所有者與所述資產(chǎn)的每一個聯(lián)系起來,每個包括分別的所述資產(chǎn)的一個或多個的所有者。
18.如權(quán)利要求16所述的設(shè)備,其中所述資產(chǎn)注冊包括所述資產(chǎn)的每一個的各個所有者。
19.如權(quán)利要求16所述的設(shè)備,其中所述設(shè)備包括用于存儲所述區(qū)域的注冊的數(shù)據(jù)存儲器。
20.如權(quán)利要求19所述的設(shè)備,其中所述區(qū)域注冊包括用于將各個保管人與所述區(qū)域的每一個聯(lián)系起來的數(shù)據(jù)。
21.如權(quán)利要求16所述的設(shè)備,其中所述資產(chǎn)的每一個都是信息相關(guān)的。
22.如權(quán)利要求16所述的設(shè)備,其中所述設(shè)備是可操作的,以將資產(chǎn)損失當作所述資產(chǎn)為其一部分的系統(tǒng)的損失的等價物來看待。
23.如權(quán)利要求16所述的設(shè)備,其中所述設(shè)備是可操作的,以確定關(guān)于每個資產(chǎn)的度量風險,關(guān)于各個資產(chǎn)的所述度量風險包括1)在所述影響評估中確定的影響水平和2)在所述資產(chǎn)風險評估中確定的資產(chǎn)風險及在所述區(qū)域風險評估中確定的資產(chǎn)風險的最大值的乘積。
24.一種風險管理方法,包括根據(jù)權(quán)利要求1至15的任何一個所述的方法評估風險;以及管理所述風險。
25.如權(quán)利要求24所述的方法,其中所述風險的管理包括確定資產(chǎn)數(shù)量的分布作為相關(guān)聯(lián)的度量風險的函數(shù);確定最高可接受的風險水平;以及如果所述資產(chǎn)的任何一個超過所述最高可接受的風險水平,則應(yīng)用一個或多個控制。
26.如權(quán)利要求24所述的方法,其中所述可接受的風險水平包括最高可利用的度量風險或100%的較低者。
全文摘要
本發(fā)明提供一種用于在組織內(nèi)評估風險的方法,包括定義一個或多個區(qū)域(2),所述一個或多個區(qū)域的每一個包括一個環(huán)境;識別組織的一個或多個資產(chǎn)(4),所述資產(chǎn)的每一個位于所述區(qū)域的分別的一個中;對于所述資產(chǎn)的每一個實施分別的影響評估(6),每個評估包括評估各個資產(chǎn)損失的影響;對于所述區(qū)域的每一個實施分別的區(qū)域風險評估(8a),包括評估與在各個相應(yīng)的區(qū)域內(nèi)放置各個資產(chǎn)相關(guān)聯(lián)的風險水平;以及對于每個資產(chǎn)實施分別的資產(chǎn)風險評估(8b),包括評估與不依賴于各個資產(chǎn)的各自的區(qū)域的所述各個資產(chǎn)相關(guān)聯(lián)的風險水平;并且在至少影響評估、區(qū)域風險評估和資產(chǎn)風險評估的基礎(chǔ)上評估風險。本發(fā)明也提供一種風險管理方法,包括根據(jù)上文所描述的方法評估風險并且管理所述風險。
文檔編號G06Q40/00GK1771512SQ03826461
公開日2006年5月10日 申請日期2003年7月1日 優(yōu)先權(quán)日2003年4月1日
發(fā)明者姚青暉 申請人:麥思敏士顧問(私人)有限公司