CMB培训ISO重点分析.ppt

Cost-Effective Analysis When Selecting Control Measures 分析当前控制 ISO 27002将控制定义如下： 管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。 控制措施也用于防护措施或对策的同义词。 本步的目标是对已经实现或规划中的安全防护措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率） 风险的分析与评价 风险分析：系统地使用信息来识别风险来源和估计风险 风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程 存在定性、定量两种风险分析方法 实例： 风险处理策略 经过风险评估后识别出来的风险，接着便是制定其对应的风险处理计划. 可能的风险处理计划包括以下四种之一或四种的组合: 采取适当的控制措施来降低(reduce) 风险。 了解并客观地接受( accept) 风险, 倘若他们清除的符合公司策略并在可接受风险范围之内，或者如果采取控制（control）措施的话，成本太高。 通过放弃当前的某些活动来规避(avoid)风险发生。 转嫁(transfer)风险至其它组织， 例如保险公司、供应商等。 定义风险接收水平 风险处理计划完成后的残余风险水平应在可接受风险水平之内 初始 风险水平 （高） 可接受的风险水平（Low） 残余风险 风