ISO27001資訊保安風險分為:人員風險、組織風險、物理環境風險、資訊機密性/完整性風險、系統風險、通訊操作風險、基礎設施風險、業務連續性風險、第三方風險、風險評估風險、法律風險和風險決策風險共十二個方面。
1)人員風險
由於組織缺乏人員安全管理、明確的職責和意識教育,內部無意或惡意人員的失誤或攻擊,以及來自外部惡意或好奇人員或組織的攻擊,會使組織業務面臨大的風險。
2)組織風險
如果組織在資訊保安組織管理方面基礎薄弱、職責不清、技術服務能力差等原因,使組織在資訊保安管理方面處於失控狀態,加大了資訊保安風險。
3)物理環境風險
由於缺乏對組織場所的安全保衛,或是防水、防火、防雷等保護措施,在面臨偷盜、自然災難時,有時會造成極大的損失。
4)資訊機密性/完整性風險
資訊是組織資訊科技系統裝載的業務資料,是一種非常重要價值的資產,甚至一些觀點認為資訊是組織的血液,是“一種在資產負債表之外,經過逐漸積累的,可以被用來提升組織競爭優勢的資訊”。同實物資產相比,資訊非常分散並且易於複製,是組織業務流程的重要輸入和輸出資料,比如客戶資料、產品設計等,如果得不到正確的識別、評估、儲存和管理,就面臨可能被竊取、損毀、丟失的風險,不但使依賴於這些關鍵資訊的核心業務造成嚴重損壞,還會對組織的信譽、聲望造成巨大損失,甚至會摧毀整個組織。資訊風險管理,主要是保證資訊的機密性、完整性和可用性。
5)系統風險
通常所用的計算機作業系統,以及大量應用軟體在組織業務交流中的使用,尤其是定製應用產品,來自這些系統和應用軟體的問題和缺陷會對一系列系統造成影響,尤其是多個應用系統互聯時,影響會涉及整個組織的多個系統。比如有的系統維護困難、結構不完善、缺乏文件、設計漏洞等多種問題,有時會在系統升級和安裝補丁時引入較高的風險。系統風險要求機構對系統應用具備協同、維護、測試、版本管理、配置管理、系統管理、監控等方面具備管理能力。
6)通訊操作風險
如果在通訊加密、應用分割槽、防病毒、IDS 等安全措施出現技術或管理問題時,被攻擊者利用後,會引發資訊保安風險。
7)基礎設施風險
基礎設施包括支撐業務應用系統的網路(區域網、廣域網、網際網路、專線網、無線網)、硬體(伺服器、主機、應用終端、共享裝置)、物理環境,它們是組織業務賴以生存的基礎(如電力、WEB伺服器、資料庫伺服器等),一旦出現故障或中斷,它所承載的應用也會出現問題或停頓。基礎設施風險要求組織在應用層、網路層、鏈路層、物理層面進行綜合防禦。
8)業務連續性風險
依賴於資訊系統服務的組織關鍵業務可能因系統的“宕機”而中斷,或是因系統服務效能的降低(如響應時間過長)造成新客戶的流失或老客戶的轉移。業務連續性風險,要求機構具備資訊科技服務、安全事件處理和災難恢復能力。
9)第三方合作風險
第三方指服務供應商、銷售商。隨著外包業務的興起,許多組織業務依賴於供應商和銷售商的服務提供,由於不完備的合同、第三方服務能力效能下降、不適應快速增長的業務需求、缺乏第三方的管理經驗、產品支援失效、過短的升級週期、功能性不足等多種風險因素,導致第三方服務失效。第三方合作風險要求在合同談判、轉換服務上加強風險管理。
10)風險評估風險
如果不專業的風險評估人員、不科學的評估方法、不一致的評估標準常常會造成系統風險評估的不一致、不正確的風險評估結果,造成風險決策出現失誤。
11)法律風險
在資訊系統的執行過程中,由於不知曉國家法律,或是明知故犯,使組織面臨由於個人隱私洩露所造成的風險。
12)決策風險
應用風險評估的結果進行風險決策和控制選擇是資訊保安風險管理的核心,也是最終的目標。如果在風險分析、評估、控制方面不能全面、科學反映組織的安全狀態,決策者可能會在安全投資方面出現重大失誤。決策風險主要是依據風險評估的結果在風險避免、風險減緩、風險轉移和風險承受四個方面進行權衡決策,避免決策失誤。
ISO27001資訊保安風險分為:人員風險、組織風險、物理環境風險、資訊機密性/完整性風險、系統風險、通訊操作風險、基礎設施風險、業務連續性風險、第三方風險、風險評估風險、法律風險和風險決策風險共十二個方面。
1)人員風險
由於組織缺乏人員安全管理、明確的職責和意識教育,內部無意或惡意人員的失誤或攻擊,以及來自外部惡意或好奇人員或組織的攻擊,會使組織業務面臨大的風險。
2)組織風險
如果組織在資訊保安組織管理方面基礎薄弱、職責不清、技術服務能力差等原因,使組織在資訊保安管理方面處於失控狀態,加大了資訊保安風險。
3)物理環境風險
由於缺乏對組織場所的安全保衛,或是防水、防火、防雷等保護措施,在面臨偷盜、自然災難時,有時會造成極大的損失。
4)資訊機密性/完整性風險
資訊是組織資訊科技系統裝載的業務資料,是一種非常重要價值的資產,甚至一些觀點認為資訊是組織的血液,是“一種在資產負債表之外,經過逐漸積累的,可以被用來提升組織競爭優勢的資訊”。同實物資產相比,資訊非常分散並且易於複製,是組織業務流程的重要輸入和輸出資料,比如客戶資料、產品設計等,如果得不到正確的識別、評估、儲存和管理,就面臨可能被竊取、損毀、丟失的風險,不但使依賴於這些關鍵資訊的核心業務造成嚴重損壞,還會對組織的信譽、聲望造成巨大損失,甚至會摧毀整個組織。資訊風險管理,主要是保證資訊的機密性、完整性和可用性。
5)系統風險
通常所用的計算機作業系統,以及大量應用軟體在組織業務交流中的使用,尤其是定製應用產品,來自這些系統和應用軟體的問題和缺陷會對一系列系統造成影響,尤其是多個應用系統互聯時,影響會涉及整個組織的多個系統。比如有的系統維護困難、結構不完善、缺乏文件、設計漏洞等多種問題,有時會在系統升級和安裝補丁時引入較高的風險。系統風險要求機構對系統應用具備協同、維護、測試、版本管理、配置管理、系統管理、監控等方面具備管理能力。
6)通訊操作風險
如果在通訊加密、應用分割槽、防病毒、IDS 等安全措施出現技術或管理問題時,被攻擊者利用後,會引發資訊保安風險。
7)基礎設施風險
基礎設施包括支撐業務應用系統的網路(區域網、廣域網、網際網路、專線網、無線網)、硬體(伺服器、主機、應用終端、共享裝置)、物理環境,它們是組織業務賴以生存的基礎(如電力、WEB伺服器、資料庫伺服器等),一旦出現故障或中斷,它所承載的應用也會出現問題或停頓。基礎設施風險要求組織在應用層、網路層、鏈路層、物理層面進行綜合防禦。
8)業務連續性風險
依賴於資訊系統服務的組織關鍵業務可能因系統的“宕機”而中斷,或是因系統服務效能的降低(如響應時間過長)造成新客戶的流失或老客戶的轉移。業務連續性風險,要求機構具備資訊科技服務、安全事件處理和災難恢復能力。
9)第三方合作風險
第三方指服務供應商、銷售商。隨著外包業務的興起,許多組織業務依賴於供應商和銷售商的服務提供,由於不完備的合同、第三方服務能力效能下降、不適應快速增長的業務需求、缺乏第三方的管理經驗、產品支援失效、過短的升級週期、功能性不足等多種風險因素,導致第三方服務失效。第三方合作風險要求在合同談判、轉換服務上加強風險管理。
10)風險評估風險
如果不專業的風險評估人員、不科學的評估方法、不一致的評估標準常常會造成系統風險評估的不一致、不正確的風險評估結果,造成風險決策出現失誤。
11)法律風險
在資訊系統的執行過程中,由於不知曉國家法律,或是明知故犯,使組織面臨由於個人隱私洩露所造成的風險。
12)決策風險
應用風險評估的結果進行風險決策和控制選擇是資訊保安風險管理的核心,也是最終的目標。如果在風險分析、評估、控制方面不能全面、科學反映組織的安全狀態,決策者可能會在安全投資方面出現重大失誤。決策風險主要是依據風險評估的結果在風險避免、風險減緩、風險轉移和風險承受四個方面進行權衡決策,避免決策失誤。