05-ISO IEC 27001：2013-标准系列培训课程-信息安全风险管理重点.pptVIP

* * * * * 风险处置 预防性控制措施：在问题发生前，并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件，只允许授权用户访问敏感文件 检查性控制措施：检查控制发生的错误、疏漏或蓄意行为 网络通信过程中的Echo控制 内部审计 纠正性控制措施：减少危害影响，修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程 控制措施 威胁、脆弱性和控制措施的关系示意图 风险处置 控制措施 威胁、脆弱性和控制措施的关系示意图 Information Security Incident 信息安全事件管理 BCM 业务连续性管理 Human 人员安全 Physical 物理安全 Information System 系统获得/开发/维护 Operation 操作安全 Access Control 访问控制 Access Control 访问控制 Asset 资产管理 Organization 组织安全 Policy 方针目标 Compliance 合规性 Compliance 合规性 Compliance 合规性 Compliance 合规性 Communication 通信安全 Supplier 供应关系 Cryptography 密码学 风险处置 控制措施制定思路 决策层—控制策略 管理层—控制程序 执行