信息安全风险及分析.pptVIP

没有高级管理层对安全问题的正确理解和有力支持，信息安全工作是很难正常开展的； 信息安全管理人员也应经常站在管理管理层的角度思考问题，在CISSP考试中也是这样； 信息安全管理的能力取决于公司治理水平； 信息安全管理专业人员应该有能力、有行动影响高官，帮助其形成信息安全管理的正确观念。 10:40左右结束，休息10分钟 计划是对各种活动进行规划和安排的活动和文档，通过计划进行管理的现代管理的基本方法； 自下而上是一种理想的安全管理推行模式，不过实际工作中经常是自下而上的； 从最高管理者到一般用户在计划的制定和实施过程中有各自的责任，并非都是安全专业人员在责任； 计划的制定应该有层次性，层次关系应该明确、顺畅。 风险举例： 敏感信息泄漏导致机构市场能力遭到损害的风险； 重要信息被篡改导致资金损失的风险； 信息系统设备丢失或被损坏导致财产损失的风险； 信息系统故障造成业务中断的风险； 信息资产面临的风险有很多； 信息安全管理从本质上就是对信息资产的风险进行管理，所以风险管理的概念和方法在信息安全工作中将贯彻始终，是最核心的信息安全方法。 逐一解释个概念的含义。 威胁、弱点、资产的减少都会导致风险的降低； 减少弱点是信息安全的主要工作，也是大家容易理解和意识到的； 规避威胁也是重要的风险消减手段，比如将设施建设在威胁较少的环境中； 减少资产对攻击者的吸引力也是一种手段，比如建筑物和设备外观等。 信息安全是为机构使命和业务目标服务的，成本效益原则是风险评估的一项基本原则，所有的安全控制措施都应进行成本效益分析，过度保护与保护不力一样会被追究责任。 我们要保护什么资产？ 这些资产可能遭受哪些风险？ 已经有哪些控制措施？ 剩余风险是否能够被接受？ 有哪些剩余风险不能接受？ 通过什么措施消减这些无法接受的剩余风险？ 这些措施的成本效益如何？ 每一种威胁给每一项资产带来的每一种风险及其控制措施和剩余风险都应予以识别和评价，最后进行总体评价。 风险分析是风险管理的控制性步骤，是进行有效风险消减的前提，也是风险管理工作的难点； 解释风险评估的主要任务； 风险评价是根据风险分析结果和机构的风险承受能力确定有哪些风险无法接受，提出消减的建议； 风险分析经常与风险评估混用； 降低风险是信息安全管理的主要工作； 减少威胁：对员工进行背景调查，进行保密教育和签订保密协议，实施职务分离、工作轮换、强制假期等人员控制措施，异常情况的内部报告制度； 减少弱点：加强信息系统输出控制，采用防泄密的技术措施，加强设施的物理控制； 降低影响：建立安全事件响应和处理机制，及时发现异常情况，采取措施，如调整市场计划和价格政策、获得有力证据后对相关人员和机构采取法律行动，改进控制措施防止此类事件再次发生等； 我国实施的“物理隔离”就是规避风险的一种措施，由于业务活动的要求，不是所有的风险都可以规避； 国内保险品种较少，这方面的选择多是对固定资产损失风险的转移； 低风险和中等风险有时可以接受。 要将残留风险控制在比较低的水平需增加控制措施的投入成本，如果决策者原因冒较高的风险就可以节省这些成本，这与企业或企业决策者的风险偏好有关，不过不管风险偏好如何，都应该符合适度谨慎和适度勤勉的管理原则； 比如如果将中等风险降低为低风险需要付出很大的控制成本，决策者可以选择接受中等风险，但如果将中等风险降低为低风险只需付出很少成本，决策者就应该选择将风险降低到低风险。 简述人在信息安全中的关键性作用，包括内部人员对安全的威胁； 人是安全保障的决定性因素，举例SOC的实践，所以人员的培训是最重要的安全控制措施之一，最后我们要讲到这个问题； 人的安全问题是信息安全的首要问题，凡是由于信息系统故障或遭破坏可能导致人健康和生命损失的，这种系统安全性都应重点保护，任何安全措施都不应妨碍紧急情况下人的疏散，信息安全措施不应过度侵犯个人隐私； 背景调查的力度应与职务的敏感程度相当； 保安等具有较高物理安全特权和系统管理人员等具有较高系统特权的人，以及其它能够接触到敏感信息的人都属于敏感岗位； 不应雇佣有犯罪记录和非法攻击他人网络的黑客； 第三方服务人员也应进行类似调查。 保密协议属于指导型控制，必须与其它控制手段配合才能达到一定的保护等级； 保密协议可能在以后涉及的法律纠纷中有一定意义，但相关当事人承担的法律责任还是由现行法律而部署保密协议确定； 所以只能将保密协议做为层次化防御体现的一个环节，而不是主要的防御措施，之所以机构常使用这种手段，原因在于这种手段的成本很低，具有成本效益。 Separation of duties (also called segregation of duties) assigns parts of tasks to different personnel. Th