信息安全的风险评估管理new.pptVIP

信息安全管理核心内容---风险管理 国际和国内信息安全标准和法规 ISO 17799信息安全管理系统 国家政策背景 1、什么是风险评估 信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办[2006]5号文件）。 我们需要的是一套高保障的安全体系 信息安全体系的建立，不是仅仅依靠几种安全设备的简单堆砌，或者一两个人技术人员就能够实现的，还要涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多因素。所以，一套良好的信息安全体系需要综合运用“人＋技术/产品＋管理＋维护”，从而才能真正建立起一套完备的、高保障的信息安全体系。 风险评估考查的对象 风险评估实施流程 实施步骤 (1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录 (1)风险评估的准备 1）确定风险评估的目标； 2）确定风险评估的范围； 3）组建适当的评估管理与实施团队； 4）进行系统调研； 5）确定评估依据和方法 ； 6）获得最高管