信息安全风险管理课件.pptVIP

信息安全风险管理 风险与信息安全风险 风险 (risk) 事态的概率及其结果的组合。[GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则] 不确定性对目标的影响。[向宏等著，信息安全测评与风险评估] 信息安全风险 (information security risk) 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 风险评估三要素 资产 (asset) 对组织具有价值的信息或资源，是安全策略保护的对象。 资产价值 (asset value) 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 威胁 (threat) 可能导致对系统或组织危害的不希望事故潜在起因。 脆弱性 (vulnerability) 可能被威胁所利用的资产或若干资产的薄弱环节。 信息安全风险管理的范围和对象 信息指信息系统中采集、处理、存储的数据和文件等内容。 信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体。 信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境。 信息安全风险管理的内容和过程 信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的内容。 背景建立、风险评估、风险处理和批准监督是信息安全风险管理的四个基本步骤，监控审查和沟通咨询则贯穿于这四个基本步骤中。 信息安全风险管理、信息系统生命周期和信息安全目标的关系 信息系统生命周期各阶段的风险评估 风险评估应贯穿于信息系统生命周期的各阶段中。 信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。 在规划设计阶段，通过风险评估以确定系统的安全目标 在建设验收阶段，通过风险评估以确定系统的安全目标达成与否 在运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。 信息安全风险管理相关人员的角色和责任 风险分析原理 风险评估过程 风险评估的工作形式 信息安全风险评估分为自评估和检查评估两种形式。 信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。 风险处理的方式 风险处理方式主要有规避、转移、降低和接受四种方式。 相关缩写 CERT: Computer Emergency Response Team, 计算机应急响应组 CVE: Common Vulnerabilities and Exposures 暴露 (exposure) 特定的攻击利用数据处理系统特定的脆弱性的可能性。 * * 反馈信息安全风险管理的效果。 内或外 受益者 利用信息系统完成自身的任务。 内或外 使用者 用户层 为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。 外 专业者 为信息系统提供专业咨询、培训、诊断和工具等服务。 外 专业者 支持层 负责信息安全风险管理过程和结果的监视和控制。 内 监控者 负责信息系统的监视和控制。 内 监控者 负责信息系统的日常维护，包括维修和升级。 内或外 维护者 负责信息系统的日常运行和操作。 内 运行者 负责信息安全风险管理的实施。 内或外 执行者 负责信息系统的设计和实施。 内或外 建设者 执行层 负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。 内 管理者 负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。 内 管理者 管理层 负责信息安全风险管理的重大决策。 内 主管者 负责信息系统的重大决策。 内 主管者 决策层 责任 内外部 角色 责任 内外部 角色 信息安全风险管理 信息系统 层面