第三部分：风险评估.pptVIP

ISMS内审员培训课程 课程内容 第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核 教学目标 理解风险评估与管理的概念 深入理解标准对风险评估与管理的要求 了解风险评估与管理的模型与方法 基本概念框架 风险概念解析 风险分析概念解析 风险评价概念解析 风险评估概念解析 风险处理概念解析 风险管理概念解析 风险评估与风险管理的区分 资产 资产赋值 资产价值 威胁 威胁的来源 脆弱性 风险计算方法 风险计算方法-矩阵法概念 风险计算方法-矩阵法示例 5.5风险计算方法-相乘法原理 风险计算方法-相乘法示例 风险值计算 Risk Analysis Model风险分析原理 练习3 各小组现在已临时授命为风险评估小组 确定你们的风险评估方法 现在任务是“公司决定对电脑进行升级，用笔记本电脑代替台式计算机”，结合已学过的标准/风险评估方法，汇报风险评估相关工作与重点关注的控制措施 风险处理 风险管理 识别、控制并以可接受的成本将可能影响信息系统的安全风险最小化或消除的过程 中国的信息安全法律、法规(1) 1）软件产品管理办法[工信部令（2009）第九号] 2）中华人民共和国著作权法（2001年修正） 3）中华人民共和国著作权法实施条例（2002年[国务院令（第359号）]） 4）中华人民共和国计算机软件保护条例（2001年[国务院令(第339号)]） 5）关于软件出口有关问题的通知（[外经贸经发（2000）第680号]） 6）国家禁止出口、限制出口的计算机技术和属于国家秘密技术范畴的计算机技术，按《限制出口管理办法》和《国家秘密技术出口审查规定》的有关规定执行 中国的信息安全法律、法规(2) 7）中华人民共和国电子签名法（2004年[主席令（第18号）]） 8）电子认证服务管理办法（2009年[工信部令（2009）第1号]） 9) 互联网视听节目服务管理规定 (2007年[信产部令（2007）第56号]) 10) 电子信息产业统计工作管理办法 (2007年[信产部令（2007）第42号]) 11) 电子信息产品污染控制管理办法. （2007年[信产部第39 号令]） 12) 互联网电子邮件服务管理办法（2006年[信产部第38 号令]） 13) 互联网IP地址备案管理办法（2005年[信产部第34 号令]） 14) 非经营性互联网信息服务备案管理办法 (2005年[信产部第33 号令]) 中国的信息安全法律、法规(3) 15) 中国互联网络域名管理办法(2004年[信产部第30 号令])) 16) 互联网电子公告服务管理规定(2000年[信产部第30号令])) 17) 计算机信息系统集成企业资质和信息系统工程监理单位资质评审机构管理暂行办法（信部科[2008]122号） 18) 信息安全等级保护管理办法（公通字[2007]43号） 法律方面的要求包括: 信息系统保护、知识产权、记录保持、数据保护以及密码控制等方面。 风险评估实施流程 Exposure Security Level High High Low $ Costs of Security vs. Exposure 接受,降低,转移,避免 Costs in balance Security 选择和实施安全控制方法和措施 确定可接受的残余风险的水平 持续地评审威胁以及薄弱点 评审现有的安全控制方法 应用ISO/IEC 27001中的其它安全控制方法 引入方针和程序 资产识别及其价值确定 识别 薄弱点 识 别 威 胁 评 价 影 响 业务风险 风险评级 风险评价 评审现有 控制方法 识别 新的安全控制方法 方针和程序 实施和风险降低 风险接受 （残余风险） 风险处理 风险处理过程 纠正的 预防的 探测的 有效的安全 控制方法-种类 防病毒的修补软件 用户培训 设备维护 从事件中学习 控制方法-纠正性方法 用户培训 物理进入控制 处理恶意软件的程序 用户访问控制 口令管理系统 信息访问限制 控制方法-预防性方法 防病毒探测软件 操作者日志 故障日志 安全评审 身份认证 控制方法-探测性方法 选择哪种 控制方法？ 访问控制 数字签名 电源供应 控制方法的选择 风险 所要求的确保/保证程度 成本 实施的容易程度 维护 法律法规的要求 顾客以及其它的合同要求 控制方法的选择要求 控制方法的选择要求-风险 控制方法必须反映组织的风险管理战略 必须考虑安全风险对业务的影响 控制方法的选择要求-要求保证程度 达到完全安全是不可能