[企业管理]bs7799风险处置培训.pptVIP

风险处置介绍 一、 风险评估知识回顾 风险概述 风险评估方法 风险评估过程 二、赋值 资产赋值 威胁赋值 弱点赋值 三、风险处置 风险处置方法 风险处置计划 风险处置实施 风险处置监督、检查和改进 风险管理 以可以接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 风险管理是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。 在风险管理方面应考虑控制费用与风险之间的平衡。 风险概述 风险的定义（信息安全领域） 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。 风险要素 资产：是任何对组织有价值的东西 威胁：是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果 脆弱性：与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害 安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称 其他术语 资产价值：资产的重要程度和敏感程度。资产价值是资产的属性，也是进行资产评估的具体内容。 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 风险评估：是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。 风险要素之间的关系 资产、威胁和脆弱性对应关系 资产 威胁A 威胁B 来源A1 来源A2 来源B1 来源B2 脆弱点A1 脆弱点A2 。。。。。。 。。。。。。 。。。。。。 脆弱点B1 脆弱点B2 。。。。。。 每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点 风险评估方法 定量的风险评估 当部分的公司资产已具有量化的价值 利用财务的手法算出风险造成的财务损失 再根据损失的大小决定风险等级 定性的风险评估 从风险发生可能性及造成的后果来考虑风险的等级 对于后果和可能性采用定性度量 并在最后阶段归纳出不同等级风险的方法 基于要素的风险评估 风险的函数表达： R = f（ a, v, t ） R：风险 a：资产的价值 v：资产本身的弱点 t：资产所面临的威胁 风险评估方法 许多方法都会使用表格并结合主观和经验判断 目前并没有使用所谓正确或错误的方法 重要的是选择使用一个适合XXXX的方法 也可以根据不同等级的风险，运用不同的风险分析方法 对信息安全的评估很难量化 风险评估过程 建立风险评估小组 确定风险评估的范围 建立资产列表 对资产进行赋值 建立漏洞列表 建立威胁列表 建立与威胁相关的安全措施列表 提供报告 风险评估流程图 漏洞列表 弱口令 体积小/重量轻/容易携带/管理者的疏忽/缺乏足够的物理安全控制 电子产品耐火性很差 电子产品耐水性很差 系统漏洞/没有安装防毒软件/病毒库没有升到最新 电子产品在外力摔打下易碎 对软件正常工作的依赖 对硬件正常工作的依赖 数据更新或删除不可追溯 系统或网络管理或配置缺陷 易拆卸,易搬运/管理者的疏忽/缺乏足够的物理安全控制 撕扯易碎 易燃 易传递、易携带 没有备份/备份不成功/备份数据不是最新 缺乏足够的物理安全控制/随意复制 电子产品耐水、耐火、耐老鼠咬、耐虫蚀性很差 易断 漏洞列表 剧烈撞击下会损坏 公司的不诚信行为 员工的对外形象不佳 法律、法规、安全意识薄弱 性格缺陷/不良的工作习惯 道德问题/性格缺陷/不良的工作习惯/存储公司重要信息的设备丢失(如笔记本电脑/磁带/U盘等) 无交接制度或制度执行不佳/员工不辞而别或急辞工 没有UPS和备用电源 没有及时安装安全补丁 SNMP漏洞 FTP远程缓冲区溢出漏洞 SSH漏洞 Wu-Ftp漏洞 没有关闭不必要的服务 软件设计与编写缺陷 威胁列表 黑客 盗贼 火灾 水浸 恶意代码/病毒 蓄意破坏 软件故障 硬件故障 操作失误 水浸/火灾/鼠害/虫灾 个别人员工作安排不合理/时间分配不合理 内部员工被商业间谍收买/恶意报复公司 离职时信息交接不齐全或无交接 网页被黑客篡改、丑化 网页打开速度很慢或打不开 相关方的不利宣传 相关方的讽刺、嘲笑 员工的违法、违纪行为 风险评估的准则 每半年重新进行一次风险评估 资产发生重大变化时 公司业务发生重大变化时 出现重大信息安全漏洞或发生重大信息安全事件时 出现其它需要重新进行风险评估的情形时 Agenda 一、 风险评估知识回顾 风险概述 风险评估方法 风险评估过程 二、赋值 资产赋值 威胁赋值 弱点赋值 三、风险处置 风险处置方法 风险处置计划 风险