在应该关心并对完成使命负最终责任的标准下,高级管理人员必须保证那些必要的资源被有效地运用在完成使命所需能力的开发方面。他们必须对风险评估活动的结果进行评估并将其融入到决策过程中。一个有效的风险管理程序(用来对
IT相关的使命风险进行评估并减缓这类风险)离不开高级管理人员的参与和支持。
◆ 首席技术官(CIO)
CIO负责机构的IT计划、预算以及性能,其中也包括信息安全部分。在这些领域的决策应该基于有效的风险管理程序。
◆ 系统和信息所有者
系统和信息所有者负责部署适当的安全控制并保护他们所拥有的IT系统和数据的完整性、保密性和可用性。一般来说系统和信息所有者要负责对其IT系统的变更,因此他们通常得要批准或中止对其IT系统的变更(如系统的增强,对系统软件或硬件的重大变更等)。系统和信息所有者因此必须清楚他们在风险管理过程中的角色并完全支持这一过程。
◆ 业务和职能主管
负责业务运行和IT采购过程的主管必须在风险管理过程中担当一个主动角色。这些主管有权作出对完成使命来讲是必不可少折衷决定,并对其负责。他们对风险管理过程的参有助于实现IT的适度,如果管理得当的话,可以用最小的资源代价完成使命。
◆ 信息系统安全官(ISSO)
IT安全程序经理和计算机安全官员负责机构的安全程序,包括风险管理。因此,他们会主导引入一个适当的、结构化的方法来帮助对支持机构使命的IT系统所面临的风险进行识别、评价、并将它们最小化。在支持高级管理人员方面,ISSO担当的是一个主要的顾问角色,从而保证这项活动持续不断的进行下去。
◆ IT安全实施人员
IT安全从业人员(如网络、系统、应用、和数据库管理员,计算机专业人员,安全分析员,安全顾问等)负责其IT系统中安全要求得到正确地实现。当现有的IT系统环境发生变化时(如网络连接的扩展,现有基础设施和机构政策的变化,新技术的引入等),IT安全从业人员必须支持或运用风险管理过程,以对新的潜在风险进行识别和评价,并实现新的安全控制来保护其IT系统。
◆ 安全意识培训人员(安全/主题专家)
机构人员是IT系统的用户。按照机构策略、指导、和行为规则来使用IT系统和数据对于减缓风险和保护机构IT资源而言是非常关键的。为了将IT系统的风险最小化,必须为系统和应用用户提供安全意识培训。因此,IT安全培训人员或安全/主题专家必须了解风险管理过程,这样他们可以制作出适当的培训材料,并将风险评估融入到培训程序中,对最终用户进行培训。
第 2 章 风险评估
风险评估是风险管理方法学中的第一个过程。机构使用风险评估来确定潜在威胁的程度以及贯穿整个SDLC与IT系统相关的风险。该过程的输出可以帮助我们确定适当的安全控制,从而在风险减缓过程中减缓或消除风险。风险减缓过程将在第三章中讨论。
风险是给定的威胁源攻击一个特定潜在弱点的可能性,以及此敌对事件对机构产生的影响。
为了确定未来敌对事件发生的可能性,必须要对IT系统面临的威胁,连同可能的弱点和IT系统已经部署的安全控制一起进行分析。影响是指因为一个威胁攻击弱点而造成的危害程度。影响级别是由对使命的潜在影响所支配,反过来也为受到影响的IT资产和资源产生一个相对价值(如IT系统组件和数据的关键性和敏感性)。风险评估方法包括九个主要步骤,分别在3.1到3.9节中描述:
◆ 步骤一:系统特征描述
◆ 步骤二:威胁识别
◆ 步骤三:弱点识别
◆ 步骤四:控制分析
◆ 步骤五:可能性确定
◆ 步骤六:影响分析
◆ 步骤七:风险确定
◆ 步骤八:控制建议
◆ 步骤九:结果文档
第一步完成之后,第2,3,4和6个步骤可以并行操作。图3-1图示了这些步骤以及每一步骤的输入和输出:
