论文摘要：基于业务流程的信息安全风险评估方法研究

信息安全风险评估是对企业或组织的信息系统进行信息安全风险管理的首要环节，而信息安全风险评估的过程涉及到对信息系统内的信息资产的保密性﹑完整性以及可用性三个属性的识别以及评估。对信息资产的准确识别以及对信息资产的三个属性的评估是为企业或组织信息系统建立信息资产风险档案的关键环节，也是实施信息安全风险评估的重点内容。因此，采用一项有效并富有实践意义的信息安全风险评估方法关系到下一阶段鉴别组织信息安全风险管理措施是否具有合理性的判断标准，也是后续风险管理人员实施合理有效的风险等级控制方法的重要依据。目前学界比较流行的信息安全风险评估方法主要有定性方法﹑定量方法以及定性与定量相结合的方法。定性方法是通过对专家的访谈。并依据专家多年的从业经验对信息系统的风险状况进行判断，总结得出的一个笼统的风险概念。此种方法虽然在实施过程中耗费的经济成本以及人力成本均较小，但是风险评估的结果过于模糊，很有可能导致所实施的信息安全风险控制目标偏离实际有效控制的范围。然而后来的研究者为了克服定性的风险评估方法的局限性，通过研究使用定量化的方法进行风险评估活动，虽然取得了一定的效果，但是时至今日也存在很大的问题，比如定量的数据有可能很难获得，或者在获得数据过程中所耗费的人力物力巨大，这给下一阶段的信息安全风险评估的实施造成了巨大的客观障碍。因此，一种新型的定性与定量相结合的评估方法被广泛关注并开始深入应用，并且也是目前最流行的方法。在定性与定量相结合的方法中，AHP﹙层次分析法﹚是最常用的方法。然而目前使用AHP方法进行的信息安全风险评估的研究，主要是集中在对信息系统的总体风险的笼统评估，比如通过定性方法设置信息系统的风险评估指标，而通过定量的方法求出信息系统的整体风险值，再通过划定风险等级范围，确定信息系统的风险等级。事实上此种方法存在巨大缺陷，即不能精确的确定每一项信息资产的风险等级以及各项信息资产的风险特征，同时也不利于风险管理人员准确的制定针对每一项信息资产的风险控制方案。信息资产包括软件﹑硬件﹑人员﹑数据以及服务等，而信息资产是信息系统的主要构成要素，如果不能详实的识别每一个信息资产的风险等级，而只以信息系统的整体风险作为风险控制的依据，将不能针对性的准确确定具体信息安全控制策略以及控制方法。事实上，构成信息资产的风险是多种多样的，如果依据以往对信息系统风险评估的结果所采用的控制措施去控制风险，虽然可以达到降低风险的目的，但在风险控制过程中往往不能明确所控制的风险具体是由哪些资产所引起，不利于对信息资产按照其潜在的风险特征去实施保护。本文从这方面考虑提出了基于业务流程的信息安全风险评估方法，通过业务流程识别信息资产并确定信息资产的重要性以及确定信息资产的风险评估优先级，然后识别信息资产所在业务流程的风险类型最终确定信息资产的具体风险大小。本文的主要研究工作与创新点如下：一、本文针对GB/T20984-2007中定义的五种资产之间的关系进行了分类分析，提出数据和服务是需要保护的核心资产，硬件﹑软件﹑人员资产是数据和服务资产的支撑资产。时至今日，在企业组织的业务流程中，每一项业务的开展都需要信息系统的支撑，而构成信息系统的主要资产包括上述的五种资产，但是在业务流程当中，这五种资产的关系并非是相互独立的，且在业务流程当中数据是被处理的对象，而软件﹑硬件﹑人员是数据处理过程的载体，并且所被处理的数据是企业组织所需要进行决策或者进行经营活动的重要保障，因此本文认为数据是信息资产保护中的核心资产。另外，软件﹑硬件以及人员是支撑组织对内对外办公服务的支撑体，并且它们所支撑的服务关系到企业组织经营活动的正常进行，因此服务也是企业组织需要保护的核心资产。二、本文在业务流程中，通过对支撑组织业务运转的信息资产所处的位置和流动性的分析，提出将信息资产划分为位置固定资产与位置变动资产，从而有效识别了信息资产。三、本文至始至终坚持在业务流程当中识别信息资产并确定其重要性。本文依靠在业务流程当中确定影响信息资产的重要性的指标，通过重要性指标的判断确定信息资产的重要性，为组织信息系统建立资产重要性档案。在对信息资产风险评估的过程当中，依据信息资产的重要性不同确定出风险评估的优先顺序。同时引入业务流程的风险模型。通过在业务流程中每个业务节点识别信息资产的漏洞、威胁以及风险类型，并为信息资产的风险等级构建评价指标。应用AHP方法确定资产的各类风险大小排序，同时结合风险等级识别指标确定每项具体信息资产的风险等级，可以为后续的信息资产风险管理活动确定一个具体的风险管理档案。

来源：半壳优胜鲸鱼幸运星转载请保留出处和链接！

本文链接：http://87cpy.com/238878.html