第一章 信息安全治理与风险管理.pptx

《信息安全技术及应用》;《信息安全技术及应用》;数据与信息的关系;第一章 信息安全治理与风险管理;本章主要内容 Security terminology and principles Protection control types Security frameworks, models, standards, and best practices Security enterprise architecture Risk management Security documentation Information classification and protection Security awareness training Security governance ;信息安全管理基础 安全管控框架与体系 风险管理 组织的信息安全实践 信息安全意识、培训和教育;对信息安全管理的初步认识;什么是信息？;信息在其生命周期内的处理方式;信息安全的基本目标;对CIA目标的解释;对CIA目标的解释;CIA相关技术;信息安全的实质;其他相关概念和原则;什么是信息安全管理;信息安全管理模型;内容目录 信息安全管理基础 安全管控框架与体系 风险管理 组织的信息安全实践 信息安全意识、培训和教育;企业安全框架;常规企业管控参考框架;关于COSO;关于ITIL;关于COBIT;关于ISO27000系列标准;ISO27000标准的发展历史;ISO27002标准内容框架;文件化的安全体系—安全策略？;安全策略具有层次性;安全策略的层次模型;安全策略不同层次不同作用;不同内容侧重的策略类型;策略文件的构成要素;应该制定哪些策略？;安全策略注意事项;如何理解信息安全治理？;内容目录 信息安全管理基础 安全管控框架与体系 风险管理 组织的信息安全实践 信息安全意识、培训和教育;;风险管理相关要素定义;资产;风险要素之间的关系;风险管理的目标;安全没有绝对可言;关键是达成成本利益的平衡;风险管理的一般过程;风险管理过程的逻辑公式;什么是风险评估？;典型的RA方法;风险评估可用工具和实践方法;定量评估和定性评估;定量风险评估概述;定量分析基本概念;定量分析基本过程;定量分析举例;定性风险评估概述;识别信息资产;评价信息资产;信息分类分级管理;识别并评估威胁;识别并评估弱点;资产、威胁及弱点关系;风险评价之前需要确定两个指标;对现有控制措施的考虑;风险评估矩阵;定性风险评估举例;确定风险处置策略;选择控制措施以降低风险;绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了实现信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr=原有风险R0-控制效力△R 残留风险Rr≤可接受的风险Rr 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。;风险场景： 一个个人经济上存在问题的公司职员 有权独立访问某类高敏感度的信息，他 可能窃取这些信息卖给公司的竞争对 手。 实施控制之前： 影响3（中等），可能性为4（很可能）， 风险为12（S级）。 实施控制之后： 影响为3不变，可能性降为1,残留风险 为3（L级）。 应对残留风险： 残留风险在可接受范围内，说明措施 的应用是成功的。;;内容目录 信息安全管理基础 安全管控框架与体系 风险管理 组织的信息安全实践 信息安全意识、培训和教育;要让安全有效，必须让所有人都知道并理解自身角色、责任以及权力 因为各个组织需要求不同，要提出一种普遍的解决方案是不可能的 组织必须以恰当的方式为员工委派安全相关的角色，这方面应该遵循职责分离原则 在维护信息安全的过程中，每个人都有相应的角色和责任，最重要的角色应该是管理层，他们必须为整个信息安全规划定好基调;高级管理者（Senior management） 决策层或高级管理层全面负责信息安全，是信息安全的最终责任人 规划信息安全，确定目标和优先次序，委派信息安全责任 信息系统安全专家（Information security professionals） 即信息安全官（Infosec Officer）或CSO，受高级管理层委派（通常向CIO负责），负责实施和维护安全 设计、实施、管理和复查组织的安全策略、标准、指南和程序 协调组织内部各单位之间所有的与安全相关的交互 安全委员会（security committee） 成员来自：高级管理层代表；IT管理者；业务部门和职能部门负责人；信息安全官等 安全委员会的责任：决策并批准安全相关事务、策略、标准、指南和程序 安全管理员（Security Administrator） 负责实施、监视并执