风险评估流程及标准概要.ppt

ISO/IEC TR 13335 ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT 安全管理提供建议。 ISO/IEC TR 13335 分成5 个部分： 国家标准《信息安全评估指南》－风险评估要素关系图 方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 国家标准《信息安全评估指南》－风险分析原理图 国家标准《信息安全评估指南》－风险评估实施流程图 * * * * * * * * * 评估体系及相关 标准培训 安全评估体系及标准 安全评估服务体系 风险评估内容与过程 风险评估服务组件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 国家标准《信息安全评估指南》 安全评估体系 基线安全评估 网络架构评估 业务系统评估 管理安全评估 安全风险评估 全面安全解决方案 （Total Solution） 安全咨询 安全加固