第 1 章 简介
每个组织均有其任务(mission)。在这个数字化的时代里,当某个组织为了更好地支持其任务而使用自动化信息技术(information technology, IT )系统处理其信息时,风险管理(Risk Management)就在保护该机构的信息资产,或者说其任务远离和IT相关的风险中扮演着关键的角色。
有效的风险管理过程是一个成功的IT安全规划中的重要组成部分。一个组织的风险管理过程最关键的目标应该是保护组织以及组织完成其任务的能力,而不仅仅是其IT资产。因此,风险管理过程不应当被看作是一个主要由操作和管理IT系统的专业人员实现的技术行为,而应该是组织的一项实质的管理行为。
1.1 依据
本文由NIST所开发以促进其由计算机安全法(1987年)和信息技术管理改革法(1996年)所规定的责任(specifically 15 United States Code (U.S.C.) 278 g-3 (a)(5))。本文不是15 U.S.C. 278 g-3 (a)(3)含义下的指南。
这些指南用于联邦内处理敏感信息的组织。它们和OMB Circular A-130,附录III中的要求是一致的。
本指南并非强制性的和标准。本文可以在非政府组织中在自愿使用。本文没有版权。
本文中的任何部分都不可以用来反驳强制性标准、法规。本指南也不可解释为替代商业部长、OMB主管及其他任何联邦官员的现有法令。
1.2 目的
风险是对系统弱点进行利用后产生的负面的影响,包括这种影响的可能性和已经发生的影响。风险管理是识别风险、评估风险、以及采取步骤降低风险到可接受范围内的过程。本指南提供一套用以开发出有效的风险管理过程的方法,它包括对IT系统中风险评估和规避的定义和实践的指南。最终的目的是为了帮助组织更好地管理和IT相关的业务面临的风险。
此外,本指南还提供用于选择划算的安全控制措施 的信息。这些控制措施可以用于规避风险,更好地保护关键业务信息和处理、存储、运行这些信息的IT系统。
组织在管理和IT相关的业务风险时可以选择扩展或简化本指南介绍的全部过程和步骤,也可以裁剪它们以适合自己的环境。
1.3 目标
进行风险管理的目标是为了使组织完成其业务(1)通过更好地保护存储、处理、传输组织信息的IT系统;(2)通过管理的手段做出相应的风险管理决策进而提出正当开销作为IT预算的一部分;以及(3)以风险管理执行后导出的支持文档为基础,在管理方面协助对对IT系统 的批准。
1.4 读者
本指南为那些在其IT系统中支持或使用风险管理过程的人员提供了一个通用的基础,无论他们富有经验和经验不足,是技术人员或非技术人员。这些人包括--
◆ 高级管理人员,业务的拥有者,那些IT安全预算的决策者。
◆ 首席信息官,确保为其机构IT系统部署风险管理并为这些IT系统提供安全的人员。
◆ 负责最终决策是否允许IT系统的运行的人员。
◆ IT安全规划经理,部署安全规划的人员。
◆ 信息系统安全官(ISSO),负责IT安全的人员。
◆ 用以支持IT功能的系统软、硬件这些IT系统的拥有者。
◆存储的数据,进程以及在IT系统中传输的信息的拥有者。
◆ 负责IT生产的业务或功能管理人员。
◆ 管理IT系统安全的技术支持人员(如,网络,系统,应用以及数据库管理员,计算机专业人员,数据安全分析人员)。
◆ 开发并维护可能影响系统和数据完整性代码的IT系统和应用程序员。
◆ 测试并确保IT系统和数据完整性的IT类的保险人员。
◆ 审计IT系统的信息系统审计员。
◆ 在风险管理中支持客户的IT顾问。
1.5 参考
本指南基于国家安全技术局(National Institute of Standards and Technology (NIST) Special Publication (SP) 800-27)《IT安全的工程原则》所提出的一些基本概念,以及NIST SP 800-14, 《保全IT系统的一般概念和惯例》中的规则和惯例。此外,本文也遵循Office of Management and Budget (OMB) Circular A-130, Appendix III, 《联邦自动信息资源安全》;《计算机安全法》(the Computer Security Act (CSA) of 1987);以及《政府信息安全改革法》(the Government Information Security Reform Act of October 2000)中所规定的政策。
1.6 结构
本指南的其余章节讨论如下内容:
◆第二章介绍风险管理概述,风险管理如何和系统开发生命周期(SDLC)集成,以及支持和使用风险管理的组织角色。
◆ 第三章介绍风险管理的方法以及在IT系统中应用风险管理的九个主要的步骤。
◆第四章介绍风险规避过程,包括风险规避手段和策略,控制措施实施的过程,控制措施分类,成本-收益分析以及残余风险。
◆第五章讨论好的习惯和持续的风险分级和评估的重要性,以及几个引导我们成功完成风险管理的因素。
本指南也包括几个附录。附录1提供一个面谈问题的例子。附录2提供风险评估报告大纲的示例。附录3包括一个安全措施实施计划的样表。
(术语1:"IT 系统"定义为通用的支持系统(如,大型主机,小型计算机,局域网络,企业范围的骨干网)或可运行于通用的支持系统之上的主要的应用,该应用使用一些信息资源,满足用户的特定需求。)
(术语2:"safeguards"和"controls"定义为降低风险的手段(即安全措施,或安全控制措施。译者);这两个术语在本指南中可以互用。
(术语3:Office of Management and Budget's November 2000 Circular A-130, the Computer Security Act of 1987, and the Government Information Security Reform Act of October 2000 要求一个IT系统在运行之前需要被批准,并且此后至少每三年重新批准一次。)
