信息安全风险评估应深化考虑的几个方面蒲利君四川警官高等专科学校教育技术中心[摘要]信息安全是一个动态的复杂过程,要使信息安全风险评估具有较好的实效性,除按有关信息技术标准法律规范和流程实施外,对一些特有的、可能导致巨大风险的具体情况,应引起足够的重视;本文尝试分析了人为因素、小概率事件和风险的变化对信息安全风险评估的影响,并给出了一些建议。[关键词]信息安全;风险评估;人为因素;小概率事件随着我国信息化建设进入全面推动和加快进展的重要时期,信息安全愈加重要,信息安全风险评估和检查被列为我国信息安全保障工作重点任务之一.各地各部门也在不同程度地开展信息安全风险评估,进行必要的信息安全检查,依据风险评估的结果为信息系统选择适当的安全措施,应对可能发生的风险。而信息安全是一个动态的复杂过程,在实施过程中,没有那一种方法能十全十美,甚至综合几种方法也会有缺陷。现有一般做法是依据国家有关信息技术标准,参照国际成熟经验模式,进行综合评估,但在具体实施时会出现对有些方面分析考虑欠深化,或由于量化实施难度大而重视不够的情况,而这些情况往往是导致风险的关键,以下例举几个方面。 一、 人为因素大多数的风险评估强调操作系统、计算机和网络的安全风险,而不是造成信息损失的人,但实际无论在哪种情况下,需要安全保护的根本在于人。风险评估方法,如 NIST 的年损失预算,CRAMM 等强调在公司内部运用技术控制来保护计算机和网络,重点放在减少损失的风险性上,所用的定量和定性的风险计算方法无法确定损失经验值和预期值,进行风险评估意味着已知的、被接受的安全控制可以用于某种风险环境,而在很大程度上忽视了正在飞速变化的存储媒体、系统、组织和许多受到信任的、有权力的人。按信息安全管理法律规范 BS 7799—2 的一般描述,风险评估主要对信息安全管理系统(ISMS)范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定.在 BS 7799—2:2025 的控制细则里包含人员安全的内容,具体描述是:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训.关于人员安全部分仅是其十个控...
