《51CTO下载-CISP-17-信息安全风险管理》.pdf

信息安全风险管理 中国信息安全产品测评中心 CISP-10-信息安全风险管理 2008年11月 知识体系介绍 风险管理基本概念 风险评估 风险管理的流程和方法 风险评估的流程和方法 关键安全 BCPDRP概念和背景 管理过程 业务持续性计划编制过程和步 业务持续性和灾难恢复 骤 业务持续性计划内容 业务持续性计划相关的技术和 事件响应 管理 知识体 知识域 知识子域 目录 一．认识风险 二．风险管理概述 三．风险管理体系介绍 四．风险管理过程 五．风险管理的运用 六．风险评估方法 七．风险评估实施过程 一、认识风险 1 认识风险 1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素 1.1 重要参考资料 ISO 13335 27002 15408 BS 7799-2 BSI PD3000 AS/NZS 4360 OCTAVE GAO/AIMD 98-68 1.2 风险评估的目的 组织为什么要进行风险评估？ 1.2 风险评估的目的 风险评估的目的  了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据 组织实现信息安全的必要的、重要的步骤 1.3 风险的定义 普通字典的解释： 风险：遭受损害或损失的可能性。 1.3 风险的定义 AS/NZS 4360 ：澳大利亚/新西兰国家标准： 风险：对目标产生影响的某种事件发生的机会。它可以用后 果和可能性来衡量。 Risk: the chance of something happening that will have on impact upon objectives. It is measured in terms of consequences and likelihood. 1.3 风险的定义 与风险有关的名词：  后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤害、 失利或获利。  可能性 Likelihood 用作对几率或频率的定性描述。  几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件或结 果的可能性。%  频率 Frequency