III-1A的风险管理程序和评估

批准日期:2011年9月16日
生效日期:2011年9月16日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.0版;凡是注日期的2011年9月12日
相关立法和大学政策: 

审查期限:5年
最后一次审查的日期:2011年9月12日
有关:全校教职工

目的

对信息安全相关的风险管理标准的政策规定,并基线术语阐述的安全规划和法规遵从性工作。风险管理活动的目标包括:

  • 通过有关安全有效的,持续的对话建立风险意识文化的系统所有者和运营和项目团队(包括IT)之间的风险
  • 识别信息和信息系统的分类
  • 使所有团队成员通过使用标准的术语和定性的概率和影响定义的参与风险的识别。
  • 确保系统拥有者是知识渊博的前20%或前5名风险信息系统,并采取在风险管理,并通过安全计划适当步骤
  • 确保适当的注意力都集中在问题和关注
  • 明确信息安全办公室中的企业级信息安全风险管理方面的作用。

范围

本标准适用于所有高校信息技术和信息管理系统,以解决企业和系统风险。所有的信息系统(包括外包IT服务)应进行 一些 信息安全风险管理的评估水平。信息系统视为临界值到永利棋牌游戏app下载,包括但不限于它的系统在需要正式的项目管理,应当经过 正式 风险管理活动在此策略所定义。

消除

不适用。

过程语句

一般

临界值永利棋牌游戏app下载的所有信息系统,应当进行信息安全风险管理的考核一定程度。风险管理是一个系统的生命周期方法,并没有时间评估的一个点。它是系统所有者的责任,以确保风险的大学充分管理,并放置在无不可接受的风险的大学。

风险的两个主要变量是共同的大学环境。这些都是企业风险和系统风险。企业安全风险是共同的在大学运营的所有信息,以及这些风险的识别和管理 受行政管理的风险承受能力 的大学。信息安全办公室负责支持总统和教务长的办公室,通过高校技术服务/ CIO的副总裁,在企业安全风险管理,通过全校范围内的计划,控制,实践和策略部署。系统安全隐患涉及具体的系统和业务流程,其中大部分往往有一个单独的部门或系统所有者。系统所有者,如信息系统安全计划中确定,负责确保遵守这两个全校范围内的风险管理活动和系统的特定风险。

此过程概述了规定的方法来管理在信息安全方面的风险。

程序

学校使用的两个标准方法的信息安全风险管理的组合:持续的风险管理(CRM)和octavesm风险评估方法。这些方法被设计成一个“支持的自助服务”程序,其中由信息安全办公室的分析师,系统所有者和他们的业务和项目团队便利有权识别和管理的信息安全风险,以他们的计算环境。

八度方法被嵌入到在CRM中的识别和分析阶段的CRM方法,通常被称为一个风险评估。

持续的风险管理(CRM)

CRM的方法是一个反复的和定性的风险管理框架,为适应大学的研究,教育的动态环境,并支持IT系统和基础设施。 CRM定义了管理的安全隐患要使用标准条款和流程。 CRM是由软件工程学院软件工程组织开发,并为良好信息安全风险管理方法的功能。根本,以风险管理过程是一个风险库存为任何特定系统的发展,并解决命名风险顶部相关联的动作,无论是在地方或计划,由系统所有者。作为包含在该系统的信息安全计划的风险清单的形式,这是最常见的实现。

修改SEI octavesm风险评估方法

八度的方法,这是由软件工程研究所(SEI)开发,定义了在风险评估过程中使用的基本概况威胁。学校已修改为基于倍频威胁型材条件和后果的方法。这些配置文件为系统的关键资产开发,并使用一个可视化工具来开发的风险清单。使用的倍频威胁类别包括:

  1. 人类可以通过网络访问
  2. 人类与物理访问
  3. 系统问题
  4. 其他问题

每个类别的威胁树进行评估,如本例用网络访问人看到。网络接入可以与内部或外部,并且意外或故意。都有公开,修改,损失/破坏和中断的潜在的最终结果。

Threat Tree graphic for humans with Network Access

利用CRM管理风险

  1. 风险盘点:CRM的总体目标是建立一个风险清单。库存呈现为信息系统安全计划的核心。
  2. CRM的过程图描述了风险管理的周期。以这种方式,程序或项目团队可以专注于顶部的风险,而不会被什么可以成为信息安全领域的风险中,绝大多数变得不堪重负完成各种周期。
Continuous risk management process map.

 

  1. identify-搜索和定位的风险,他们成为使用八度方法小的风险评估问题之前。
  2. analyze-转换风险数据转化为确定优先次序和决策有用的信息。风险库存的产生,在这里完成,最高的20%或前5规避的风险。
  3. 计划 - 翻译风险信息纳入规划决策和减灾战略(现在和未来),并实施前五名风险的行动(至少)。这些都是由系统所有者授予的信息系统安全计划和审批呈现。
  4. 径迹监控风险指标和减排努力
  5. 控制 - 正确的风险缓解计划的偏差,并决定今后的行动
  6. 沟通和文档 - 提供有关风险的活动,未来的风险信息,并反馈给项目和新出现的风险

进行系统的风险评估

风险评估工作旨在收集所有相关风险的系统,在评估的时候。参与者包括系统开发商,系统拥有者,用户代表,以及系统管理人员。评估可能会或可能不会包括风险等级或缓解活动的决心。信息安全办公室利于这些评估,使用基于自己的永利棋牌游戏计算环境的知识,以及过去和现在的威胁信息已知威胁的条件。

  1. 预评估规划。收集系统的使用和数据流量(实际或建议),除了管理和技术团队。信息风险对现有的或类似的系统,或者从以前的评估,应提请评估。
  2. 范围:开发的上下文模型映射信息流和存储。使用上下文模型来识别系统的关键资产。识别来源的信息资产,并归类为公共,内部使用,根据大学标准的限制。
  3. 评估系统的关键资产,使用四个八度的主要威胁类别倍频威胁的树木。注意到,在发展的初期阶段,规模较小的项目或系统风险,也可以使用信息安全办公室安全设计审查问卷,团队头脑风暴会议,还是个人的努力进行评估,在项目经理的自由裁量权。在这个级别中是必需的[U]科技正式的项目管理应具有某种形式的倍频威胁评估系统进行。
  4. 产生条件/结果语句为风险指标,这是添加到安全计划。
  5. 计划和进度分析会议。

风险属性

风险具有发生的概率。如果发生不良事件的概率是1,风险不再是风险,已成为一个问题,而问题管理接管。因此,风险描述的上下文来明确界定的风险状况和可能的不利事件。在CRM方法,每个风险声明由两个部分组成:

  1. 条件:一个当前值得关注的描述,基于倍频的威胁状况。条件语句包括共同的威胁和漏洞信息,其中构成输入到发生的可能性。
  2. 后果:事业的关注感知的影响进行了初步的描述。其后果也应考虑中期和长期影响。额外的任务成功的标准可以被添加到澄清的影响的严重性。

作为CRM的风险分析阶段的结果,每个风险将有定义了三个定性属性:

  1. 可能性
    1. 低被认为发生不可能的,小于20%的几率
    2. 中期可能
    3. 高的可能性很大,已经经历了其他类似的业务/研究领域,出现超过70%的机会
  2. 影响(可以根据性能,安全性,成本,进度,除了
    1. 低应的事件发生微弱的影响(例如公共或内部信息泄露)
    2. 中等关键(例如受限制的信息的公开)
    3. 高灾难性(数据资产或以实现任务的能力丧失的例如总损失,没有替代品存在)
  3. 时限(用于当实现一个风险反应)
    1. 长条款而─行动需要发生超过12个月
    2. 中期条款而─行动需要采取2至12个月之间发生
    3. 附近的条款而─行动需要采取在未来2个月内到位

例如风险声明

“给出的条件,有可能会发生的后果。”

健康)状况 用户往往会离开自己的电脑无人看管的状态记录到其中限制数据管理应用程序,并允许普通大众的物理访问。
后果 使用的无人看管的计算机的物理访问,外人(未授权的)可能故意访问受限与泄漏,修改,或该数据的破坏的结果的信息。

规划阶段风险行动标准

目的或风险规划是细化确定的风险的知识,并首先解决的最重要的风险。效率是必要的,以尽量减少成本和进度的影响,以信息系统和项目。因为CRM是一个循环的过程,优先级较低的风险将“上升到顶部”作为最重要的是在早期循环处理。一旦风险优先级,创建行动计划,以解决前20%或前5的风险。有4类危险动作:

  1. watch-显示器变为概率与影响的条件,但行动(以及任何可能的成本支出)被延迟。当怀疑有低影响或概率会增加,这是普遍执行。
  2. 接受 - 项目管理已经接受了这种风险是可以容忍到系统的任务。与被接受必须有应对冲击的应急计划中等以上的概率和影响的风险。
  3. 的研究 - 信息不足存在于分析的时间,因此项目团队需要了解更多的风险。当研究是由于完成下研究需要归类风险时限规定。
  4. 通过资源配置mitigate-采取措施执行控制或过程的变化。离散动作在缓解计划规定,其目标如下:
    1. 降低发生概率
    2. 降低或软化的影响
    3. 延长反应时间帧

风险指数,风险的行为定义,交付作为信息系统安全计划的一部分。项目评估小组还必须继续了解,计算风险承担是什么允许创新,牢记风险管理活动的目的是为了解决方案来管理组织不可接受的风险。

跟踪阶段标准

风险的跟踪作为信息系统管理功能的一部分进行的,因此,最好是通过对信息系统安全计划定期更新来实现的。系统所有者负责确保风险行为已经发生,确定减灾活动的有效性,并确保新的风险评估周期在商业惯例或系统实现任何显著的变化进行的。风险状况是在每月的项目状态会议报告,或[U]高科技项目报告。

控制级标准

决定应由项目状态会议,密切风险在项目经理进行,不断研究,减轻或手表的风险,重新规划或重新聚焦行为或活动,或调用应急预案。顶部5(或前20%),其具有企业撞击风险元件可以仅在系统所有者的同意被关闭。这也是时候项目经理授权和对风险的分配资源。

通信和文档阶段标准

The risk index is reported as a part of the Information Systems Security Plan. Project status meetings should use the standard Risk Index table. For systems subject to FISMA, long term risk mitigation activities (those that require implementation time frames longer than the initial systems development cycle) will have a published Plan of Actions and Milestones (POA&M) for top risks only.

风险接受和系统授权阶段标准

个人(通常是系统所有者)与权力的适当水平,以接受系统的风险责任表示他们接受的风险行动计划的通过信息系统安全计划的批准。

责任

首席信息安全官(CISO):确保风险管理流程的建立和维护。通过itspac治理流程定义为企业可接受的风险阈值。管理企业(系统级)安全隐患。

信息安全人员:监控安全风险的持续的基础上,并定期更新根据不断变化的安全威胁情况下的程序管制。定义了高级管理层可接受的风险阈值的建议。

系统拥有者:确保风险管理活动的系统开发生命周期中进行的,而本地系统风险决策并不大学安全风险承受能力产生负面影响。确保通过建立信息系统安全计划的合规性。

定义

危险因素:不期望的事件发生,这将阻止该组织从实现任务或业务功能(如安全的一种妥协)的概率组合的后果或影响的;风险通常伴随着机会。
风险声明:条件(威胁来源和脆弱性)和后果(影响)的组合,它描述的风险。
联邦信息安全管理法案(FISMA)2003-选择研究系统是主体,通过合同义务,遵守该法的规定。在FISMA风险管理的安全需求由主办机构的安全策略文件划定,并通过NIST特别出版物800个系列文件。
可接受的风险:由系统所有者,计划或项目,以及首席信息安全官/ itspac治理委员会理解并同意风险。

系统所有者:对于由信息系统,通常是系统的主要内部客户支持的业务流程大学的权威。例如,首席财务官是金融系统的系统所有者;注册商是学生信息系统的所有者。

Plan of Action and Milestones (POA&M)

引用

持续的风险管理指南,软件工程学院,匹兹堡,宾夕法尼亚 //www.sei.cmu.edu/risk/

octavesm威胁建模

管理信息安全风险的一个八度的做法,克里斯托弗·艾伯茨和奥黛丽dorofee,Addison-Wesley出版社,2003年,培生教育,INC。

完整的系统的分析,工作簿,课本,答案,詹姆斯·罗伯逊和苏珊·罗伯逊,1998年,赛特家出版商。

2003年联邦信息安全管理法案(FISMA)。

NIST特刊800-39,管理信息安全风险

标准复审周期

这个过程将每三年检讨有关政策生效日的周年纪念日,在最低限度。标准可以进行审查,并根据需要,以适应合规性和业务需求的变化。