在上一篇《信息安全是基於風險的管理》介紹了風險管理、風險控制以及信息安全風險各要素的定義,今天在介紹信息安全風險評估過程與方法之前,先對信息安全風險做一個定義總結,所謂信息安全風險即是:
一個特定的威脅利用一個或一組信息資產技術或管理中的弱點導致資產(或業務)損失或者破壞的潛在可能性。
通過定義我們可以非常清晰的看到,信息安全風險首先是一種「可能性」,什么的可能性呢?「損失或破壞」的可能性,通俗理解就是可能發生損失或損壞的程度。
信息安全風險是一種可能的程度,這里面包含這兩層含義,一層含義是有哪些信息安全風險是可能的,另外一層的含義是這些可能的信息安全風險所帶來的可能損失是多大。信息安全風險評估就是解決這兩個問題的,來看下信息安全風險評估的定義:
利用既定的方法,對組織的信息資產所面臨的信息安全風險,系統地進行分析和評價的整個過程。
通過定義可以看出,信息安全風險評估的對象是信息資產,評估過程包含「分析」和「評價」兩個階段,風險分析是將信息安全風險要素(資產、威脅、弱點等)識別出來,並且對風險進行梳理與計算;風險評價則是將已經計算出來的風險值,與風險等級定義進行對比,得出風險的程度(通常是高、中、低)。
前面把信息安全風險評估的定義和過程介紹完了,下面對信息安全風險評估的方法簡單介紹一下。信息安全風險評估從方法上來划分,可以分為定量評估、定性評估、半定量評估三種。
1、定量信息安全風險評估
所謂定量評估是試圖從數字上對安全風險進行分析評估的一種方法,采用量化的數值描述影響(估計出可能損失的金額)和可能性(概率或頻率),分析的有效性取決於所用的數值精確度和完整性。
定量風險評估結果是建立在獨立客觀的程序或量化指標之上的,這樣做的優點是可以為成本效益審核提供精確依據,有利於預算決策。當然定量風險評估也存在方法復雜、計算量大、投入資源大、費時費力的缺點。在現實信息安全風險評估中,除個別行業的個別場景外,定量風險評估很少被用到。
2、定性信息安全風險評估
所謂定性評估也叫專家評價法,是憑借分析者的經驗,或者業界的標准和慣例,為風險管理諸要素的大小或高低程度定性分級。定性評估采用文字形式或敘述性的數值范圍描述風險的影響程度和可能性的大小(如高、中、低等)。
定性評估結果高度依賴於評估者的經驗和能力,很難客觀地跟蹤風險管理的效果,並不能為安全措施的成本效益分析提供客觀依據,對關鍵資產財務價值評估參考性較低。但定性評估也因為有着計算方式簡單,易於理解和執行的優點,在信息安全風險評估被廣泛應用。
3、半定量信息安全風險評估評估
半定量評估則是將定量評估和定性評估進行了一個折中,其優缺點也介於定量評估和定性評估兩者之間。半定量評估可以得到比通常在定性評估中所得到的更為詳細的風險程度,但並非可以提出得到在定量分析中所得到的風險實際值。
風險評估不僅僅是信息安全工作的基礎,在科技風險管理、IT審計中也有着重要的作用,本篇僅對信息安全風險評估的定義、過程和方法做了一個簡略的介紹,后面計划連續幾篇秀一下風險評估的實操部分。