信息安全管理技術.pptVIP

信息安全管理技术;信息安全管理引入与内涵;信息安全管理引入与内涵;信息安全管理引入与内涵;信息安全管理引入与内涵;信息安全管理引入与内涵;信息安全规划;信息安全管理引入与内涵; 信息安全风险识别与评估; 信息安全风险识别与评估;信息安全建设的起点和基础; 信息安全风险识别与评估; 信息安全风险识别与评估;;资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。 ; 信息安全风险识别与评估;资产的识别与估价 ;;故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（如误操作、维护错误）;人员威胁;人员威胁;人员威胁;威胁识别与评估 ;威胁识别与评估 威胁发生造成的后果或潜在影响 ;;脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。 ;脆弱性识别与评估 脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。 脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。 ;脆弱性识别与评估; 信息安全风险识别与评估;; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别与评估;; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别与评估; 信息安全风险识别???评估; 信息安全风险识别与评估;; 信息安全风险识别与评估;风险评估管理软件 为便于系统所有单位实施自评估，基于现有评估方法，开发了风险评估管理软件。 将各类风险判据、评分依据、检查列表集成在系统中，为系统所有者实施的风险自评估提供帮助。 力图做到：信息采集规范、判别符合标准、风险计算一致、输出结果完整。 经非专业人员试用，基本达到专业评估人员的评估效果。 ;系统脆弱性管理界面;风险系数的计算; The End Thanks For Your Attention