信息安全风与险及分析.ppt

没有高级管理层对安全问题的正确理解和有力支持，信息安全工作是很难正常开展的； 信息安全管理人员也应经常站在管理管理层的角度思考问题，在CISSP考试中也是这样； 信息安全管理的能力取决于公司治理水平； 信息安全管理专业人员应该有能力、有行动影响高官，帮助其形成信息安全管理的正确观念。 10:40左右结束，休息10分钟 计划是对各种活动进行规划和安排的活动和文档，通过计划进行管理的现代管理的基本方法； 自下而上是一种理想的安全管理推行模式，不过实际工作中经常是自下而上的； 从最高管理者到一般用户在计划的制定和实施过程中有各自的责任，并非都是安全专业人员在责任； 计划的制定应该有层次性，层次关系应该明确、顺畅。 风险举例： 敏感信息泄漏导致机构市场能力遭到损害的风险； 重要信息被篡改导致资金损失的风险； 信息系统设备丢失或被损坏导致财产损失的风险； 信息系统故障造成业务中断的风险； 信息资产面临的风险有很多； 信息安全管理从本质上就是对信息资产的风险进行管理，所以风险管理的概念和方法在信息安全工作中将贯彻始终，是最核心的信息安全方法。 逐一解释个概念的含义。 威胁、弱点、资产的减少都会导致风险的降低； 减少弱点是信息安全的主要工作，也是大家容易理解和意识到的； 规避威胁也是重要的风险消减手段，比如将设施建设在威胁较少的环境中； 减少资产对攻击者的吸引力也是一种手段，比如建筑物和设备