CISP-3-风险管理.pptVIP

信息安全管理风险管理 中国信息安全产品测评认证中心（CNITSEC） CISP－3－风险管理（培训样稿） 练习一 识别风险 请列举五个信息安全的风险的例子，并按下面的要求进行描述。 要求： 按照资产－资产所面临的威胁－可能被威胁利用的脆弱点的顺序来描述每一个风险。 背景： 业务部门中有极机密的交易及客户资料 这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理 业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料 请分组讨论 威胁 脆弱性 风险等级如何？ 注意事项 练习一 识别风险 请列举五个信息安全的风险的例子，并按下面的要求进行描述。 要求： 按照资产－资产所面临的威胁－可能被威胁利用的脆弱点的顺序来描述每一个风险。 是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。 风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。 风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。 可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。 ISO17799信息安全管理体系 1、建立环境 2、识别风险 3、分析风险 4、评估和评价风险 5、处理风险 1、建立环境 建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。 2、鉴别风险 鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。 3、风险分析 确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。 4、评价风险 将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。 5、处理风险 接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。 6、监控和检查 对于风险管理系统的运作情形以及可能影响其运行的那 些变化进行监控和检查。 7、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者[Stakeholder]进行信息交流和咨询。 Learning From Leading Organizations based on the best practices of of organizations noted for superior information security. Risk Management Cycle风险管理循环 　　　　　　　 GAO/AIMD 98-68 识别风险和确定安全需求 建立核心管理焦点 实施适合的安全策略和控制措施 安全意识和知识培训 监督并审查安全策略和措施的有效性 1、评估风险和确定需求 识别信息资产 按业务需求制订评估流程 获得管理者和业务经理的支持 基于持续改进的方式进行风险管理 2、建立核心管理焦点 建立核心小组执行关键活动 建立核心小组和高级管理者直接联络的渠道 设立专项资金并配备相关人力资源 培养员工的职业素质和技术能力 3、实施适合的策略和相关措施 将策略与业务需求相对应 区分策略和指南 通过核心组支持策略的实现 4、增强安全意识 持续培训用户的安全意识和相关策略 采取集中培训和友好界面技术 5、监控和评估策略、措施的有效性 监控影响风险的因素和措施的有效性 运用实施结果来制订后续措施的制订及管理者的支持 关注新的监控工具和技术 资产识别 确定威胁（Threat) 识别脆弱性（Vulnerability) 实施控制方法 资产的价值 资产的保护是信息安全和风险管理的首要目标。 每个资产都应该 被识别与评价以提供适当保护。 资产的拥有者与使用者须清楚识别。 应盘点资产并建立资产清单 识别资产的脆弱性 － 资产本身的安全问题是什么？ － 这个资产缺少什么安全措施？ 分析脆弱程度 － 这个脆弱性被利用的程度有多高？ － 相对的防护措施有效性？ 定义脆弱性的计量 －可利用“低”， “中”， “高”来表示。 识别资产的威胁 鉴别威胁的目标（什么资产会被威胁？） 为什么会造成这威胁？ 找出威胁的相关性 它有影响吗？重要或严重吗？ 有没有被它利用的脆弱点？ 鉴别威胁的可能性 利用“不可能”，“