信息安全风险评估和风险管理.ppt

信息安全风险评估与风险管理 目录 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 信息安全的定义 机密性（integrity）： 确保该信息仅对已授权访问的人们才可访问 只有拥有者许可，才可被其他人访问 完整性（confidentiality）： 保护信息及处理方法的准确性和完备性； 不因人为的因素改变原有的内容，保证不被非法改动和销毁 可用性（availability）： 当要求时，即可使用信息和相关资产。 不因系统故障或误操作使资源丢失。 响应时间要求、故障下的持续运行。 其他：可控性、可审查性 Key words I 信息安全：信息的保密性、完整性、可用性的保持。 风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。 风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。 威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。 Key word II 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。 风险评估的目的和意义 信息系统风险模型 风险计算依据 目录 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 国外相关信息安全风险评估标准简介（1） ISO 27001：信息安全管理体系规范、ISO 17799 信息安全管理实践指南 基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施 ； 提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。 OCTAVE：Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。 OCTAVE 实施指南（OCTAVESM Catalog of Practices, Version 2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。 国外相关信息安全风险评估标准简介（2） AS/NZS 4360：1999 风险管理 澳大利亚和新西兰联合开发的风险管理标准 将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。 ISO/IEC TR 13335信息技术安全管理指南 提出了风险评估的方法、步骤和主要内容。 主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。 NIST SP800-30：信息技术系统风险管理指南 提出了风险评估的方法论和一般原则， 风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。 我国信息安全风险评估标准发展历程 2001年，随着GB/T 18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。 2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。 2004年，提出了《信息安全风险评估指南》标准草案 ，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。 2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对《信息安全风险评估指南》 进行了修改。 2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术 信息安全风险评估规范。 《信息安全风险评估规范》标准操作的主要内容 标准内容：引言 提出了风险评估的作用、定位及目的。 作用： 过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。 定位 建立信息安全保障机制中的一种科学方法。 目的 信息系统