信息安全风评估与管理.ppt

信息安全风险评估与管理; 1. 概念解析 2. 风险和风险管理的一般过程 3. 信息安全风险管理模型 4. 27001中风险管理的要求 5. 信息安全风险管理方法 ;刹割离复竞镭刑娩篷行挠邹秋涵胃疟政纺寐恤劫芭烩些可穿符椽敢棺末莲信息安全风评估与管理信息安全管理基础教程;风险是什么？;关于风险几个描述 中石油吉化公司双苯厂发生爆炸，污染松花江水质，给下游城市带来严重的水危机 目前环境下投资股票比投资国债风险要大 人身意外伤害保险 频繁的黑客活动给网上银行带来很大的风险 内部人员的误操作和恶意侵害是银行最大信息不安全 ;风险的定义;风险的定义;AS/NZS 4360：澳大利亚/新西兰国家标准：;风险的定义;ISO/IEC TR 13335-1:1996 ;后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。 可能性 Likelihood 用作对几率或频率的定性描述。 几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。 频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。;风险（risk） 风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。 对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。;风险管理的概念;风险管理的概念;风险管理的概念;风险管理的历史;风险管理(Risk management) 风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。 风险管理被认为是良好管理的一个组成部分。 ;对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括：;1.2.1 风险评估;1.2.1 风险评估（续）;1.2.2 风险分析;1.2.2 风险分析（续）;1.2.2 风险分析（续）;1.2.2 风险分析（续）;1.2.2 风险评价;1.2.2 风险评价（续）;1.2.3 风险处理;1.2.3 风险处理（续）;1.2.3 风险处理（续）;其关系可以简明表示??下：;1.3 资产;1.3 资产（续） ;1.3 资产（续）;威胁(threat) 威胁是一个单位的信息资产的安全可能受到的侵害。 ISO 17799 将威胁定义为对组织造成潜在影响的原因。 NIST SP800-30将威胁定义为可能对系统造成损害的事件或实体。;1.4 威胁（续）;1.4 威胁（续）;1.4 威胁（续）;1.4 威胁（续）;1.5 脆弱性;1.5 脆弱性（续）;1.5 脆弱性（续）;1.5 脆弱性（续）;1.6 防护措施; 1.7 信息安全风险要素;残余风险;1.8 概念解析- 与要素相关概念小结; 1. 概念解析 2. 风险和风险管理的一般过程 3. 信息安全风险管理模型 4. 27001中风险管理的要求 5. 信息安全风险管理方法 ;2 信息安全风险管理的一般过程;2.1 信息安全风险评估的过程;2.1 信息安全风险评估的过程(续) ;2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.2 信息安全风险处理的过程;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）; 1. 概念解析 2. 风险和风险管理的一般过程 3. 信息安全风险管理模型 4. 27001中风险管理的要求 5. 信息安全风险管理方