信息安全风险评估与管理概论.ppt

5.4 C2risk 威胁管理 威胁管理的关键 建立标准的威胁库 自主威胁库管理 威胁的动态维护 5.4 C2risk 风险评估 风险评估的关键 确立风险评估的过程 选择风险评估方法 组合对象评估法 5.4 C2risk 控制措施管理 控制措施管理的关键 建立标准的控制措施库 自主控制措施库管理 实施的控制措施的动态维护 5.4 C2risk 安全等级评定 安全等级评定的关键 等级评定标准管理 风险影响因素管理 风险影响结果管理 等级评定方法 5.4 C2risk 风险管理报告 风险管理的报告关键 提供资产和对象级风险评估报告,可以动态产生 提供已采取措施\应采取措施报告 提供随措施变化的动态风险报告 提供等级保护要求的措施报告 总 结 风险和风险管理源于传统领域 信息安全风险主要考虑资产、威胁、脆弱性、影响 信息安全风险管理是一个持续改进的过程 * * * * * * * * * * * * * * * 5.1.2 包含详细风险分析的风险管理 步骤2：识别资产 资产是一次风险评估的评估对象，它可能是一个系统的组件或部分。 评估范围内的所有资产都要被识别。 资产可能包括：信息/数据、软硬件、基础设施、人员、无形资产等 5.1.2 包含详细风险分析的风险管理 步骤3：资产赋值 资产的价值代表资产对组织业务而言的重要性。 资产的所有者、使用者最清楚资产的价值。 定性和