- 1、本文档共26页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息安全风险评估流程要点.ppt
THANKS * a.目标:了解信息系统现状,识别现有信息系统及管理上的不足,以及可能造成的风险大小。 b.范围:系统物理边界、逻辑边界、组织结构和人员范围、安全管理等。 c.团队:风险评估实施团队组建,团队成员是评估过程中的管理者以及具体评估活动的实施者。 d.调研:主要业务功能和要求、业务战略和管理制度、网络结构与网络环境、系统边界、主要软硬件、数据和信息、系统和数据的敏感性、支持和使用系统的人员等。 e.依据:国内标准主要有《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)、《网络基础安全技术要求》、《信息系统通用安全技术要求》、《操作系统安全技术要求》、《数据库管理系统安全技术要求》、《信息系统安全管理要求》、《信息系统安全等级保护基本要求》。国际标准主要有《信息安全管理指导方针》(ISO/IEC 13335)、《信息技术 安全技术 信息技术安全评估准则》(ISO 15408/GB-T 18336)、BS 7799、《系统安全工程 能力成熟度模型》(SSE-CMM)。 f.方案:风险评估方案包括团队组织、工作计划、时间进度安排等。 * * * 信息安全风险评估流程 培训讲师:jindaly 培训日期:2011.6 一、风险评估概述二、风险评估目的三、风险评估范围四、风险评估流程五、风险评估工作要点 一、风险评估概述 信息安全风险评估的概念在业内有多种说法,从国标《评估指南》对信息安全风险评估的表述中看出,评估涉及资产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险,对其进行评估,并采取措施将其降低到可接受的水平的过程,而风险评估是其中最重要的环节。 一、风险评估概述 信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,或将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。 二、风险评估目的 信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,通过开展信息安全风险评估工作,可以发现信息系统存在的主要问题和矛盾,找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据,帮助信息安全建设者正确判断系统存在风险与漏洞,并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作,只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。 三、风险评估范围 信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理,即信息系统网络、管理制度、使用或管理信息系统的相关人员以及由信息系统使用时产生的文档、数据等的风险识别、评估与管理 。 四、风险评估流程 信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。 风险评估准备 资产识别 威胁识别 脆弱性识别 已有安全措施确认 风险分析 四、风险评估流程 该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团队,明确各方职责。 在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方关注的重点,明确风险评估的目标和范围,为整个风险评估工作提供向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。 1.风险评估准备 四、风险评估流程 确定目标 确定范围 组建团队 系统调研 确定依据 制定方案 1.风险评估准备 四、风险评估流程 做好风险评估准备阶段的相关工作之后,需要通过多种途径采集评估对象的资产信息,为风险评估后续各阶段的工作提供基本素材。 机密性、完整性和可用性是评价资产的三个安全属性。
您可能关注的文档
- 信义光伏码头通航安全评估报告(送审稿)要点.doc
- 信令系统简介要点.ppt
- 信号与系统 第七章要点.ppt
- 信号与系统3-5要点.ppt
- 信号与系统及MATLAB实现要点.doc
- 信号与系统实验指导书 要点.doc
- 信号与系统实验指导要点.doc
- 信号与线性系统 第6讲要点.ppt
- 信号分析与处理绪论要点.ppt
- 信号实验指导书要点.doc
- Oracle实用教程 (第6版)(Oracle 11g版) 课件 第11章 其他概念.pptx
- 电子技术项目化教程 课件全套(徐立青)项目1--7 半导体二极管的应用--- 计数器及定时器.pptx
- 《中国法律思想史(第七版)》刘新 课件 第1--7章 夏商西周时期的神权法思想---农家学派的法律思想.pptx
- 单片机应用技术教程(基于Keil与Proteus)(微课版)教案 -张小平 1.1 数制的转换及数和字符在计算机内的表示---4.1 单片机对LED灯的控制.doc
- 《高速铁路动车组辅助设备维护与检修(第2版)》课件项目二 动车组空调系统.pptx
- Oracle实用教程 (第6版)(Oracle 11g版) 课件 第8章 系统安全管理.pptx
- BIM 技术应用实务 课件 任务3.4.2.4 创建楼梯-梯柱、梯梁绘制.pptx
- 《高速铁路动车组辅助设备维护与检修(第2版)》课件项目三 动车组车门系统.ppt
- JavaScript Vue.js前端开发任务驱动式教程-课件 仇善梁 模块9--15 Vue.js网页模板制作 ---Vuex状态管理 .pptx
- 《外国法制史(第八版)》课件 林榕年 第1--10章 古埃及法---伊斯兰法.pptx
文档评论(0)