您現在的位置: 首頁 > 安全技術 > 安全理論
信息技術系統的風險管理指南 (一)
發布時間:2005-01-04 14:39:00

第 1 章 簡介

每個組織均有其任務(mission)。在這個數字化的時代里,當某個組織為了更好地支持其任務而使用自動化信息技術(information technology, IT )系統處理其信息時,風險管理(Risk Management)就在保護該機構的信息資產,或者說其任務遠離和IT相關的風險中扮演著關鍵的角色。

有效的風險管理過程是一個成功的IT安全規劃中的重要組成部分。一個組織的風險管理過程最關鍵的目標應該是保護組織以及組織完成其任務的能力,而不僅僅是其IT資產。因此,風險管理過程不應當被看作是一個主要由操作和管理IT系統的專業人員實現的技術行為,而應該是組織的一項實質的管理行為。

1.1 依據

本文由NIST所開發以促進其由計算機安全法(1987年)和信息技術管理改革法(1996年)所規定的責任(specifically 15 United States Code (U.S.C.) 278 g-3 (a)(5))。本文不是15 U.S.C. 278 g-3 (a)(3)含義下的指南。

這些指南用于聯邦內處理敏感信息的組織。它們和OMB Circular A-130,附錄III中的要求是一致的。

本指南并非強制性的和標準。本文可以在非政府組織中在自愿使用。本文沒有版權。

本文中的任何部分都不可以用來反駁強制性標準、法規。本指南也不可解釋為替代商業部長、OMB主管及其他任何聯邦官員的現有法令。

1.2 目的

風險是對系統弱點進行利用后產生的負面的影響,包括這種影響的可能性和已經發生的影響。風險管理是識別風險、評估風險、以及采取步驟降低風險到可接受范圍內的過程。本指南提供一套用以開發出有效的風險管理過程的方法,它包括對IT系統中風險評估和規避的定義和實踐的指南。最終的目的是為了幫助組織更好地管理和IT相關的業務面臨的風險。

此外,本指南還提供用于選擇劃算的安全控制措施的信息。這些控制措施可以用于規避風險,更好地保護關鍵業務信息和處理、存儲、運行這些信息的IT系統。

組織在管理和IT相關的業務風險時可以選擇擴展或簡化本指南介紹的全部過程和步驟,也可以裁剪它們以適合自己的環境。

1.3 目標

進行風險管理的目標是為了使組織完成其業務(1)通過更好地保護存儲、處理、傳輸組織信息的IT系統;(2)通過管理的手段做出相應的風險管理決策進而提出正當開銷作為IT預算的一部分;以及(3)以風險管理執行后導出的支持文檔為基礎,在管理方面協助對對IT系統的批準。

1.4 讀者

本指南為那些在其IT系統中支持或使用風險管理過程的人員提供了一個通用的基礎,無論他們富有經驗和經驗不足,是技術人員或非技術人員。這些人包括:

◆ 高級管理人員,業務的擁有者,那些IT安全預算的決策者。

◆ 首席信息官,確保為其機構IT系統部署風險管理并為這些IT系統提供安全的人員。

◆ 負責最終決策是否允許IT系統的運行的人員。

◆ IT安全規劃經理,部署安全規劃的人員。

◆ 信息系統安全官(ISSO),負責IT安全的人員。

◆ 用以支持IT功能的系統軟、硬件這些IT系統的擁有者。

◆存儲的數據,進程以及在IT系統中傳輸的信息的擁有者。

◆ 負責IT生產的業務或功能管理人員。

◆ 管理IT系統安全的技術支持人員(如,網絡,系統,應用以及數據庫管理員,計算機專業人員,數據安全分析人員)。

◆ 開發并維護可能影響系統和數據完整性代碼的IT系統和應用程序員。

◆ 測試并確保IT系統和數據完整性的IT類的保險人員。

◆ 審計IT系統的信息系統審計員。

◆ 在風險管理中支持客戶的IT顧問。

1.5 參考

本指南基于國家安全技術局(National Institute of Standards and Technology (NIST) Special Publication (SP) 800-27)《IT安全的工程原則》所提出的一些基本概念,以及NIST SP 800-14, 《保全IT系統的一般概念和慣例》中的規則和慣例。此外,本文也遵循Office of Management and Budget (OMB) Circular A-130, Appendix III, 《聯邦自動信息資源安全》;《計算機安全法》(the Computer Security Act (CSA) of 1987);以及《政府信息安全改革法》(the Government Information Security Reform Act of October 2000)中所規定的政策。

1.6 結構

本指南的其余章節討論如下內容:

◆第二章介紹風險管理概述,風險管理如何和系統開發生命周期(SDLC)集成,以及支持和使用風險管理的組織角色。

◆ 第三章介紹風險管理的方法以及在IT系統中應用風險管理的九個主要的步驟。

◆第四章介紹風險規避過程,包括風險規避手段和策略,控制措施實施的過程,控制措施分類,成本-收益分析以及殘余風險。

◆第五章討論好的習慣和持續的風險分級和評估的重要性,以及幾個引導我們成功完成風險管理的因素。

本指南也包括幾個附錄。附錄1提供一個面談問題的例子。附錄2提供風險評估報告大綱的示例。附錄3包括一個安全措施實施計劃的樣表。

(術語1:"IT 系統"定義為通用的支持系統(如,大型主機,小型計算機,局域網絡,企業范圍的骨干網)或可運行于通用的支持系統之上的主要的應用,該應用使用一些信息資源,滿足用戶的特定需求。)

(術語2:"safeguards"和"controls"定義為降低風險的手段(即安全措施,或安全控制措施。譯者);這兩個術語在本指南中可以互用。
(術語3:Office of Management and Budget's November 2000 Circular A-130, the Computer Security Act of 1987, and the Government Information Security Reform Act of October 2000 要求一個IT系統在運行之前需要被批準,并且此后至少每三年重新批準一次。)


2012伦敦奥运怎么玩 竞彩足球比分推荐310 特工简.布隆德归来 吉林麻将怎么玩法 瑞士vs法国加比分预测 湖北11选5 浙江十一选五遗漏 荆州麻将技巧 世界杯比分表下载 黑龙江p62 七乐彩开奖近300期 手机qq麻将 东方61开奖结果查 中国竞彩足球比分直播即时比分直播 巨龙配资 f1赛车速度有多快 皇冠比分直播90