信息安全管理 普通高等教育“十一五”国家级规划教材 作者 张红旗 王新昌 杨英杰 唐慧林2 第5次课-信息安全风险管理1.pptVIP

信 息 安 全 管 理 Information security management 本节内容 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 ？如何确切掌握网络和信息系统的安全程度； ？安全威胁来自何方； ？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力； ？已采取的信息安全措施是否有效。 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 残余风险（Residual Risk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 残余风险的提出 风险不可能完全消除 风险不必要完全消除 残余风险应受到密切监视,因为它可能会在将来诱发新的事件 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 各部委积极响应 公安部主力推动“等级保护”工作； 保密局对涉密网络和信息系统提出相应风险管控要求； 发改委、科技部、信息产业部等持续在科研和产业化投入方面予以支持； 国防科工委加强安全风险管理的体制、机制和建制工作； 信息安全标准化工作重点支持风险评估/管理； 各相关部门在积极开展风险管理方面的政策制定、技术研究和评估实践。 安全评估要回答的基本问题 自问： 1、谁的安全？(who) 2、如何保障安全？(how) 3、多少算足够？(how much) 他问： 1、我们单位的信息系统安全状况如何？ 2、我们单位的信息系统安全应该如何？ 3、怎样用有限的投入获得最好的安全？ 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 资产、威胁与脆弱性之间的关系如何？ 第三章 信息安全风险管理1 定性评估与定量评估各有何优缺点? tanghuilin81@ 4、信息安全风险管理的实施 遵守安全策略、法规、合同等涉及信息系统交互行为的安 全要求，减少信息安全风险 协助风险评估机构确定评估边界 在风险评估中提供必要的资源和资料 信息系统的 关联机构 提供独立的风险评估 对信息系统中的安全措施进行评估，以判断（1）这些安 全措施在特定运行环境中的有效性；（2）实现了这些措 施后系统中存在的残余风险 提出调整建议，以减少或根除信息系统中的脆弱性，有效 对抗安全威胁，控制风险 保护风险评估中获得的敏感信息，防止被无关人员和单位 获得 信息系统安 全评估机构 4、信息安全风险管理的实施 风险评估的一般工作流程 5、信息安全风险管理现状 一、国际信息安全风险管理动态 （一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范 5、信息安全风险管理现状 （一）美国：独占鳌头，加强控管 制定了从军政部门、公共部门和私营领域的风险管理政策和指南 形成了军、政、学、商分工协作的风险管理体系 国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制 5、信息安全风险管理现状 DOD：风险评估的领路者 1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。 1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估 1997年，美国国防部发布《国防部IT安全认证认可过程》（DITSCAP）；2000年，国家安全委员会发布了《国家信息保障认证和认可过程》（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估 5、信息安全风险管理现状 DOC/NIST：风险评估的推动者 2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估