（企管）信息安全与风险管理.pptVIP

安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 安全管理 风险分析 风险分析提供了一种成本/收益比，也就是用来保护公司免收威胁安全措施的费用和预料中的损失所需要的代价之间的比值。 信息风险管理 风险分析团队 要实现最有效的风险分析，就需要建立一个团队，这个团队的成员可以是管理人员、应用程序员、IT人员、审计员、系统及成员或者运行部经理，这个是必需的。样所有的风险才能被充分了解和量化。 通过进行内部调查、访问或举办研讨会。可以收集到许多类似的信息。 信息风险管理 信息风险管理 资产价值 资产可以被赋予定量和定性的度量，不过这些度量方法应该有根有据。 采取什么安全机制和应该花费多少资金来进行保护工作的第一步。 确定一项资产的价值，还能够完成一个公司的其他若该需求，包括下面这些。 进行有效的成本/收益分析 选择特定的对策和安全措施 决定保险责任范围 了解什么东西正在面临风险 资产包括有形资产（计算机、设施、供给品）或无形资产（声誉、数据、知识产权）。 由于无形资产的价值会随着时间而变化，所以很难对其进行量化。 信息风险管理 威胁和脆弱性的关系 威胁因素 可能利用的脆弱性 导致的威胁 病毒 缺少反病毒软件 病毒感染 黑客 服务器上运行功能强大的服务 对保密信息的非 授权访问 用户 操作系统中配置错误的参数 系统故障 火灾 缺少灭火器材 设施和计算机损失，可能造成生命损害 雇员 松懈的访问控制；缺少审计 损坏重要的关键信息；在数据处理应用程序中更改输入输出 承包人 松懈的访问控制机制 盗窃商业机密 攻击者 写的很差的应用程序；缺少严格的防火墙设置 造成缓冲区溢出；进行拒绝服务攻击 入侵者 缺少安全警卫 打破窗户，盗窃计算机和设备 识别威胁 信息风险管理 风险分析常见方法 信息风险管理 定量风险方法 信息风险管理 安全管理 风险分析的步骤 资产的价值是多少。 维护需要多少成本。 资产的收益。 对于竞争对手来说，他的价值是多少。 重建和修复该资产需要多少费用。 获取和开发该资产需要多少费用。 资产损失，你要负多大的责任。 会造成什么物理损失，这样带来多大的成本。 生产力损失多少，这会带来多大的成本？ 如果保密信息被泄露，损失多少。 恢复过来的成本是多少。 关键的设备出故障，会带来损失。 对每项风险和设施的事故计算单次损失期望值（SLE）。 从每个部门的人员那里手机有关每种风险发生可能性的信息。检查过去的记录以及提供数据的官方安全资源。 计算年发生概率（ARO），也就是每种威胁在一年中可能发生的次数 将潜在损失和可能性综合起来 使用前3部中计算得到的信息，对每种威胁计算年损失期望值（ALE） 为抵消每项风险选择补救措施 为每项措施计算成本/收益值 减小风险 分担风险：买保险从而将部分或全部风险转移 接受风险：让分线存在，不花钱采取保护措施 避免风险：终端危险的操作 定量风险计算的相关概念 信息风险管理 定量风险计算的相关概念 风险分析方法是定性分析，这种方法不对各个要素和损失赋予数值和货币价值。 定性分析技术包括判断、直觉和经验。 定性分析技术的例子有Delphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一会谈以及采访。 风险分析团队撰写了一页概况，说明黑客攻击公司内部5太文件服务器访问呢保密信息的情况，并将它发给了预先选定的一个五人小组（IT经理、数据库管理员、应用程序员、系统操作员和运行部经理）。这个预先选定的团队对威胁的严重程度、潜在损失和每种安全措施的有效性，用1～5的等级进行排序，1代表最不严重、最不有效或最不可能。 威胁=黑客访问保密信息 威胁的 严重性 威胁发生的可能性 给公司造成的潜在损失 防火墙的有效性 入侵检测系统的有效性 蜜罐的有效性 IT经理 4 2 4 4 3 2 数据库管理员 4 4 4 3 4 1 应用程序员 2 3 3 4 2 1 系统操作员 3 4 3 4 2 1 运行部经理 5 4 4 4 4 2 结果 3.6 3.4 3.6 3.8 3 1.4 信息风险管理 属性 定量的 定性的 不需要计算 ? × 需要更多的复杂计算 × ? 设计大量猜想工作 ? × 提供一般风险领域和指标 ? × 更容易自动化评估 × ? 用于风险管理性能追踪 × ? 提供可信的成本/收益分析 × ? 使用