信息安全风险管理的系统分析

      风险管理是一个把存在一定风险的信息系统以可以接受的费用识到、控制、降低或消除风险的一个管理过程。而如今风险管理已经是信息安全保障工作的一个主流范式，是当今全球信息安全工作的一个热点，如何有效地管理信息安全风险自然也就成为各方面都十分关注的问题。

      风险管理的一个分析过程为下图所示

     风险管理分析过程

      其步骤为：通过风险评估来识别风险大小，通过制定信患安全方针、采取适当的控制自标与控制方式对风险进行控制，使风险被避免、转移或降至一个可以被接受的水平。

      风险评估的主要任务是识别组织面临的各种风险以及评估风险概率和可能带来的负面影响。通过风险评估可以了解系统目前与未来的风险所在，评估其可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。

　　通过风险评估对风险进行识别和评价后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。

　　风险控制的实质可归纳为以下几点：

　　(1) 当系统脆弱性可被恶意攻击时，运用层次化保护、结构化设计、管理控制等方法将风险最小化或防止脆弱性被利用。

　　(2) 当损失巨大时，运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围，从而降低可能的损失。

　　(3)当存在系统脆弱性(缺陷或弱点)时，降低或修补系统脆弱性，减少脆弱性被攻击的可能性。

      (4)当攻击者的成本小于攻击的可能所得时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机。

      在完成了风险控制这一步之后，我们可根据控制的原则识别且选择安全控制措施，然后严格实施并保持后便可有效地降低风险了。降低风险的途径有避免风险、转移风险、检测意外事故、减少威胁及减少脆弱性等。

      组织根据控制的原则识别并选择了安全控制措施后，对选择的安全控制应严格实施并保持。而在实施选择的安全控制后，仍然会存在风险，称之为残留风险或剩余风险。为确保组织信息系统的安全，剩余风险应当在可接受的范居之内。风险接受是一个对残留风险进行确认和评价的过程。在安全控制实施之后，组织应对所选择的安全控制的实施情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断，也就是对实施安全控制后的资产风险进行重新计算，以获得残留风险的大小，并将之分为可接受和不可接受的风险。

　　信息系统总是随着时间的推移而不断地更新和变化的，这样，风险就是随着时间丽变化的，风险管理也就应该是一个动态的、持续的管理过程。组织在完成了包括风险评估，降低风险和风险接受的风险管理过程之后，可以将风险控制在一个可以接受的水平，但并不意味着风险管理工作的结束。在组织有新增信息资产时、系统发生重大变化时、发生严重的信息安全事故时以及任何被认为有必要的时候，都应该组织进行风险评估，以便及时识别风险并进行有效的控制。

　　以上为小编整理的关于风险管理的部分知识点，若感兴趣，请前往课课家教育平台更深一步了解学习。课课家http://www.kokojia.com