企业安全评估讲义.ppt

子提纲－风险评估介绍 概念和术语 目的和作用 评估的内容 如何进行评估 评估的效果 操作模式 风险评估的效果 发现安全问题 提出解决方案 指导安全规划 完善安全体系 保障安全运行 信息资产、网络环境、物理环境、管理制度、安全策略、人员…… 脆弱性 威胁 风险 风险评估的效果 发现安全问题 提出解决方案 指导安全规划 完善安全体系 保障安全运行 脆弱性分析 威胁分析 风险分析 系统增强加固 网络环境优化 第三方产品补充 安全策略修订 完善安全制度 加强人员安全培训 风险评估的效果 发现安全问题 提出解决方案 指导安全规划 完善安全体系 保障安全运行 平衡建设与投资 全局统筹，宏观掌控 分期分批解决问题 第一期安全建设 第二期安全建设 第三期安全建设 风险评估的效果 发现安全问题 提出解决方案 指导安全规划 完善安全体系 保障安全运行 建立全方位、多层面安全防护体系 建立动态与静态防护相结合安全体系 确定不同级别防御安全域 为等级化保护打下坚实基础 风险评估的效果 发现安全问题 提出解决方案 指导安全规划 完善安全体系 保障安全运行 运行与生产是安全防护的重点 风险评估不会影响安全运行与生产 安全体系建设保障安全运行与生产 子提纲－风险评估介绍 概念和术语 目的和作用 评估的内容 如何进行评估 评估的效果 操作模式 安全风险评估模式 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 评估模式 国内外现用的风险评估模式，大体分自评估、检查评估与委托评估三种类型。 分类依据 主要根据评估方与被评估方的关系，以及评估方与被评估方和其信息资产的关系。 评估模式特点 在现阶段，不同模式各有优点和缺陷。 安全风险评估模式 定义 自评估是信息系统拥有单位，依靠自身力量，对自有的信息系统进行的风险评估活动。 信息系统的风险，不仅仅来自信息系统技术平台的共性，还来自于特定的应用服务。由于具体单位的信息系统应用服务各具特性，这些个性化的过程和要求往往是敏感的，是没有长期接触该单位所属行业和部门的人难于在短期内熟悉和掌握的。而且只有拥有者对威胁及其后果的体会最深切。 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 安全风险评估模式 优点: 有利于保密； 有利于发挥行业和部门内的人员的业务特长； 有利于降低风险评估的费用； 有利于提高本单位的风险评估能力与信息安全知识 缺点: 如果没有统一的规范和要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入，不规范，不到位 自评估中，也可能会存在某些不利的干预，从而影响风险评估结果的客观性降低评估结果的置信度 某些时候，即使自评估的结果比较客观，但也可能不会被管理层所接受 改进办法: 可以用发挥专家的指导作用或委托专业评估组织参与部分工作的方式加以解决 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 安全风险评估模式 定义 检查评估是由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准 这种评估具有强制性，是一种纯粹意义上的他评估，单位需要配合评估工作的开展。此外，检查评估必须以明确的法规或标准为基础。这是通过行政手段加强信息安全的重要措施 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 安全风险评估模式 优点: 这种模式最具权威 缺点: 通常间隔时间较长 一般是抽样进行 不能贯穿于一个部门的信息系统的生命周期的全过程 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 安全风险评估模式 定义 委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构（安全服务企业）实施的评估活动 它既有自评估的特点（由单位自身发起，且本单位对风险评估过程的影响可以很大），也有他评估的特点（由独立与本单位的另外一方实施评估） 评估模式分类方法 自评估 自评估特点 检查评估 检查评估特点 委托评估 委托评估特点 复合模式评估 复合模式评估特点 安全风险评估模式 优点: 在委托评估中，接受委托的评估机构一般拥有风险评估的专业人才 风险评估的经验比较丰富 对IT技术风险的共性了解得比较深入 评估过程较为规范，评估结果的客观性比较好，置信度比较高 缺点: 评估费用可能会较高 可能会难以深入了解行业应用服务中的安全风险 由于风险评估中必然会接触到被评估单位的敏感情况，且评估结果本身也属于敏感信息，因此委托评估中容易发生评