33、以流程为中心的信息安全风险管理框架

以流程为中心的信息安全风险管理框架

1. 引言

美国关键基础设施和关键资产物理保护国家战略明确了一系列国家目标和宗旨，勾勒出政府保障对国家安全、治理、公共卫生与安全、经济和公众信心至关重要的基础设施和资产安全的指导原则。这些关键基础设施涵盖信息、电信、能源、交通、医疗保健以及银行和金融服务等领域。美国联邦政府高度重视在整个基础设施中持续应用安全措施，但在确定可持续的安全阈值和相应的安全要求方面仍面临挑战。解决这些挑战不仅是联邦政府的责任，也关乎广大公民。在当今知识密集型社会，信息基础设施是所有其他基础设施的核心，因此，信息安全风险管理对于保障所有关键基础设施的安全至关重要。

目前，人们正在尝试采用正式的方法来评估和分析信息安全风险。管理部门通常采用定性方法，其特点是在风险 - 价值矩阵中使用主观风险度量，如序数排名（低风险或价值、中等风险或价值和高风险或价值）。定性方法的出现部分源于一种持久的信念，即获取真实数据过于困难。此外，定性方法对管理层具有吸引力，因为他们可能希望以“最少的努力”证明自己已经“评估了风险”。定量风险方法虽然使用有限，但通常仅限于量化损失及其发生的概率。这种方法需要有合适的数据，但许多组织由于定义和测量方面的困难而缺乏这些数据。直到近年来，安全相关事件造成了严重破坏，人们才开始更加关注对风险分析和评估进行更全面的评价。因此，现在是建立和规范风险管理框架以支持信息安全领域更全面方法的时候了。

解决信息安全问题的一种方法是考虑任何安全漏洞的根本原因，这些原因可分为四类：技术、人员、信息和工作流程相关原因。当前安全讨论中占主导地位的传统“解决方案”主要侧重于解决硬件、软件或网络组件的技术原因。随着组织内部安全漏洞的范围和规模不断扩大，研究开始认识到解决人员原因的必