作者：余精彩     网名：一起走过的日子     写于2007年05月18日

转载请保留上述信息

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

【摘要】

    20世纪90年代以来，科学技术的高度发展已经毋庸置疑地把我们带进了信息时代，随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现，如何管理信息，确保其安全性成为全球瞩目的话题。本文从EPRV模型的描述入手，对信息安全风险管理的流程进行了初步探讨。

【正文】

    随着国民经济和社会信息化进程的全面加快，信息系统的基础性、全局性作用日益增强，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，由此而产生的信息安全问题对国家安全的影响日益增加、日益突出。

    信息安全已列入中国国家信息化发展战略，信息安全保障事关国家安全和社会稳定，必须按照相关政策和规范要求全面实施信息安全保障体系，国家为此已颁布多个文件提出要求和规范。ISO 17799、ISO 27001、ISO 13335、SSE-CMM、AS/NZS 4360和NIST SP800等主流安全标准也都把风险管理作为安全管理的一个主要分支来进行讨论。信息安全风险管理是IT管理者通过风险评估、风险消减、持续评价等方法平衡IT系统及数据的保护成本和保护收益，从而为机构完成其使命提供更安全的IT系统、更有效的IT安全预算和IT系统运行认可（Accreditation）依据。

    目前的风险管理方法主要有两种：前瞻性方法和反应性方法。顾名思义，反应性方法就是等待安全事故发生以后再做出有效性响应，前瞻性方法则首先最大程度地降低安全事故发生的可能性。榕基企业整合安全智囊，结合多年的信息系统风险管理经验，提炼出一种前瞻性的先进管理方法——榕基EPRV信息安全风险管理模型。

    评估风险（Evaluation risk or Assessment risk）：风险评估是风险管理的基础，EPRV从资产价值、脆弱性和威胁三个维度进行风险分析，并有机结合了定性、定量两种风险分析方法，确定风险处理的优先等级及可接受风险的等级，并提供消减风险的控制措施建议。

    等级保护（Protection Prioritization）：在该阶段根据用户业务应用环境对安全需求进行科学建模，对风险以及各种不同安全措施带来的成本和收益进行比较，并根据需求制订安全策略，部署相应的安全组件，将风险控制在最小或用户可控范围之内，从而建立适度安全的信息系统防护体系。

    加固响应（Remediation and Response）：对成功实施后的信息系统运行过程中发现的风险及时进行消减，以及残余风险出现重大危害时的应急响应，保障关键业务的连续性。包括“安全加固”、“事件管理”（包括事件报警与输出报表）、“安全教育”（包括安全标准与安全意识）等安全措施实施。

    验证改进（Validation and Action）：持续整合企业组织与人员、管理体系与流程、技术手段三方面因素，定期检查信息资产、业务流程、安全风险的每一次变化，对实施前后的对比效果进行详细分析，从而决定降低风险活动是否成功，并进行连续调整和不断改进。

    当受保护系统的业务目标和特性发生变化或面临新的风险时，需要再次进入EPRV上述四个阶段，构成了一个螺旋式上升的循环，使得受保护系统在自身和环境的变化中能够不断满足新的安全需求，减少安全风险和符合法律顺从性的压力，从而保护用户以往的投资，降低信息安全系统的TOC（总体拥有成本）。