第三部分：风险评估课件.pptVIP

ISMS内审员培训课程;第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核; 理解风险评估与管理的概念 深入理解标准对风险评估与管理的要求 了解风险评估与管理的模型与方法;主要内容 ;基本概念框架;风险概念解析;风险分析概念解析;风险评价概念解析;风险评估概念解析;风险处理概念解析;风险管理概念解析;风险评估与风险管理的区分;主要内容 ;组织;资产;资产赋值;资产价值;威胁;威胁的来源;脆弱性;主要内容 ;风险计算方法;风险计算方法-矩阵法概念;风险计算方法-矩阵法示例;5.5风险计算方法-相乘法原理;风险计算方法-相乘法示例;风险值计算;Risk Analysis Model风险分析原理;练习3;主要内容 ;;风险处理;资产识别及其价值确定;风险管理;纠正的 预防的 探测的;防病毒的修补软件 用户培训 设备维护 从事件中学习;用户培训 物理进入控制 处理恶意软件的程序 用户访问控制 口令管理系统 信息访问限制;防病毒探测软件 操作者日志 故障日志 安全评审 身份认证;选择哪种 控制方法？;风险 所要求的确保/保证程度 成本 实施的容易程度 维护 法律法规的要求 顾客以及其它的合同要求;控制方法的选择要求-风险;;控制方法的选择要求-成本;控制方法的选择要求-维护;环境是否支持该控制方法 控制方法将要花费多长时间来实施 该控制方法是否随时可得到;知识产权 组织记录的保护 数据保护以及个人信息的隐私 防止误用信息处理设施 密码控制的规定 证据;中华人民共和国保守国家秘密法 中国公众多媒体通信管理办法 部分信息安全法律 ;中国的信息安全法律、法规(1);中国的信息安全法律、法规(2);中国的信息安全法律、法规(3);安全筛选 限制访问 物理周界 数据存储 加密 数字签名;信息安全方针 信息安全职责的分配 信息安全教育和培训 报告安全事件 业务持续性管理;适用性声明是对组织已选择作为适合其业务需要的目标与控制方法的陈述。该声明也记录对任何控制方法的删减。 该声明是一份文件，表明组织如何控制风险。它不应该详细到向可能寻求破坏安全的人提供有价值的信息。 该声明可为潜在的商业伙伴使用，或作为一个独立的文件，或作为认证机构颁发的证书的正式附件，因此该声明将会为公众所获取。;说明“哪种控制方法是相关”的理由 说明“哪种控制方法是不相关”的理由 风险评价将确定应实施哪种控制方法 是文件评审的组成部分 有助于确定最终阶段审核的审核计划;主要内容 ;风险评估实施流程;*