信息安全管理普通高等教育“十一五”国家级规划教材课件作者张红旗王新昌杨英杰唐慧林2第5次课-信息安全风险管理1章.pptVIP

信 息 安 全 管 理 Information security management 本节内容 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 ？如何确切掌握网络和信息系统的安全程度； ？安全威胁来自何方； ？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力； ？已采取的信息安全措施是否有效。 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 残余风险（Residual Risk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 残余风险的提出 风险不可能完全消除 风险不必要完全消除 残余风险应受到密切监视,因为它可能会在将来诱发新的事件 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 各部委积极响应 公安部主力推动“等级保护”工作； 保密局对涉密网络和信息系统提出相应风险管控要求； 发改委、科技部、信息产业部等持续在科研和产业化投入方面予以支持； 国防科工委加强安全风险管理的体制、机制和建制工作； 信息安全标准化工作重点支持风险评估/管理； 各相关部门在积极开展风险管理方面的政策制定、技术研究和评估实践。 安全评估要回答的基本问题 自问： 1、谁的安全？(who) 2、如何保障安全？(how) 3、多少算足够？(how much) 他问： 1、我们单位的信息系统安全状况如何？ 2、我们单位的信息系统安全应该如何？ 3、怎样用有限的投入获得最好的安全？ 第三章 信息安全风险管理1 第三章 信息安全风险管理1 第三章 信息安全风险管理1 资产、威胁与脆弱性之间的关系如何？ 第三章 信息安全风险管理1 定性评估与定量评估各有何优缺点? tanghuilin81@ 5、信息安全风险管理现状 一、国际信息安全风险管理动态 （一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范 5、信息安全风险管理现状 （一）美国：独占鳌头，加强控管 制定了从军政部门、公共部门和私营领域的风险管理政策和指南 形成了军、政、学、商分工协作的风险管理体系 国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制 5、信息安全风险管理现状 DOD：风险评估的领路者 1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。 1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估 1997年，美国国防部发布《国防部IT安全认证认可过程》（DITSCAP）；2000年，国家安全委员会发布了《国家信息保障认证和认可过程》（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估 5、信息安全风险管理现状 DOC/NIST：风险评估的推动者 2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》（SP 800-26） 2002年，NIST发布了《IT系统风险管理指南》（SP 800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。 2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。 5、信息安全风险管理现状 DOC/NIST：风险评估的推动者 从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统