- 1、本文档共18页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
风险管理的作用
风险管理是IT管理者平衡IT系统及数据的保护成本和保护收益的方法,包括:
风险评估(Risk Assessment);
风险消减(Risk Mitigation);
持续评价(Continual Evaluation);
风险管理的作用在于能够为机构完成其使命提供:
更安全的IT系统;
更有效的IT安全预算;
IT系统运行认可(Accreditation)依据;
风险管理的关键角色
高级管理人员(Senior Management),为风险管理项目提供有效的资源保证,将风险分析的结果运用于管理决策;
首席信息官(Chief Information Officer,CIO),将风险管理原则和方法用于IT计划、预算及其执行活动;
系统和信息拥有者(System and Information Owners),支持风险管理项目,并将风险管理原则和方法用于其IT系统和数据的保护中;
业务和职能管理人(Business and Functional Managers),将风险管理原则和方法用于业务运行和IT采购决策中,以便IT系统能够更安全、有效地支持业务活动;
信息系统安全官(Information System Security Officer,ISSO),IT风险管理项目的具体负责人,制定IT系统风险识别、评估和消减的全面方案,并向高级管理人员提供建议;
IT安全专业人员(IT security Practitioners),包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等,支持和参与相关IT系统的风险管理工作,包括识别系统中的风险并部署适当的防范措施,为系统提供适当的安全保护;
安全意识培训师(Security Awareness Trainers),理解风险管理方法并开发风险管理相关的培训材料,在培训项目中为用户提供培训评估方面的教育。
风险评估
系统评定(System Characterization)
威胁识别(Threat Identification)
缺陷识别(Vulnerability Identification)
控制分析(Control Analysis)
可能性确定(Likelihood Determination)
影响分析(Impact Analysis)
风险确定(Risk Determination)
控制建议(Control Recommendations)
结果报告(Results Documentation)
系统评定
确定风险评估工作的范围;
勾勒运作授权(或认可)边界;
提供定义系统风险的重要信息,这些信息主要包括以下类型:
硬件;
软件;
系统接口(如内部和外部连接);
数据和信息;
支持和使用IT系统的人员;
系统的使命(如IT系统所起的作用);
系统和数据的关键程度(如系统的价值或对机构的重要性);
系统和数据的敏感性。
系统评定应收集的信息
IT系统的功能需求(Functional Requirements);
系统的用户,包括为系统提供技术支持的系统用户(System Users),和使用系统执行业务功能的应用用户(Application Users);
系统安全政策(Security Policy),包括机构政策(Organizational Policy)、政府要求(Federal Requirements)、法律法规(Law)和业界惯例(Industry Practices);
系统安全架构(System Security Architecture);
当前的网络拓扑(Topology);
保护系统和数据可用性、完整性和保密性的信息存储安全措施;
IT系统相关的信息流图,如系统接口、系统输入和输出流程图(Flowchart);
用于IT系统的技术控制措施,如支持识别(Identification)和认证(Authentication)、访问控制(Access Control)、审计(Audit)、残留(Residual)信息保护、加密(Encryption)的内建或附加安全功能;
用于IT系统的管理控制措施,如行为规则(Rules of Behavior)、安全计划(Security Planning);
用于IT系统的运行控制措施,如人事安全(Personnel Security)、备份(Backup)、应急(Contingency)、复原(Resumption)和恢复(Recovery)操作、系统维护(System Maintenance)、离站存储(Off-Site Storage)、用户账户(User Account)建立和删除规程、用户功能隔离
文档评论(0)