信息安全评估和风险管理.ppt

信息安全风险评估与风险管理 汇报内容 一、前言 二、信息安全风险管理概述 三、信息安全风险管理各组成部分 四、信息安全风险管理的运用 五、结束语 一、前言 二、信息安全风险管理概述 二、信息安全风险管理概述 信息安全风险管理的目的和意义 二、信息安全风险管理概述 信息安全风险管理的范围和对象 二、信息安全风险管理概述 信息安全风险管理的内容和过程 二、信息安全风险管理概述 三维结构关系 二、信息安全风险管理概述 信息安全风险管理相关人员的角色和责任 三、信息安全风险管理各组成部分 三、信息安全风险管理各组成部分 对象确立概述 　　　对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。 对象确立过程 风险管理准备 信息系统调查 信息系统分析 信息安全分析 对象确立的文档 三、信息安全风险管理各组成部分 风险评估概述 　　　风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。 风险评估过程 风险评估准备 风险因素识别 风险程度分析 风险等级评价 风险评估的文档 风险评估的文档 风险评估的文档 三、信息安全风险管理各组成部分 风险控制概述 风险控制需求及其相应的风险控制措施 主要的风险控制需求及其相应的风险控制措施 主要的风险控制需求及其相应的风险控制措施 主要的风险控制需求及其相应的风险控制措施 风险控制过程 现存风险判断 控制目标确立 控制措施选择 控制措施实施 风险控制的文档 风险控制的文档 三、信息安全风险管理各组成部分 审核批准概述 审核批准过程及其在信息安全风险管理中的位置 审核申请 审核处理 批准申请 批准处理 持续监督 审核批准的文档 审核批准的文档 三、信息安全风险管理各组成部分 监控与审查的概述 监控与审查过程 贯穿对象确立 贯穿风险评估 贯穿风险评估 贯穿风险控制 贯穿风险控制 贯穿审核批准 贯穿审核批准 监控与审查的文档 三、信息安全风险管理各组成部分 沟通与咨询的概述 沟通与咨询的方式 沟通与咨询的过程 贯穿对象确立 贯穿风险评估 贯穿风险评估 贯穿风险控制 贯穿风险控制 贯穿审核批准 贯穿审核批准 沟通与咨询的文档 四、信息安全风险管理的运用 四、信息安全风险管理的运用 安全需求和目标 明确安全总体方针 确保安全总体方针源自业务期望 明确项目范围 清晰描述项目范围内所涉及系统的安全现状 提交明确的安全需求文档 清晰描述从系统的那些层次进行安全实现 对实现的可能性进行充分分析、论证 明确评价准则并达成一致 风险管理的过程概述 　　　在项目规划阶段，风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。 风险管理的活动 四、信息安全风险管理的运用 安全需求和目标 对用以实现安全系统的各类技术进行有效性评估。 对用于实施方案的产品需满足安全保护等级的要求 对自开发的软件要在结构设计阶段就充分考虑安全风险 风险管理的过程概述 　　　在设计阶段，风险管理者应能标识出在项目结构实现过程中潜在的安全风险，为设计说明中的安全性设计提供评判依据，并对实施方案中选择的产品进行合格检查，确保项目设计阶段的重要环节均能得到较好的安全风险控制。 风险管理的活动 四、信息安全风险管理的运用 安全需求和目标 　　实施阶段是按照规划和设计阶段所定义的信息系统实施方案，采购设备和软件，开发定制功能，集成、部署、配置和测试系统，培训人员，并对是否允许系统投入运行进行审核批准。 风险管理的过程概述 　　　实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。 风险管理的活动 四、信息安全风险管理的运用 安全需求和目标 　　运行维护阶段是在信息系统经过授权投入运行之后，通过风险管理的相关过程和活动，确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性。 风险管理的过程概述 　　　运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审批，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。 运行维