IT安全第3节风险管理IT审计培训-IntosaiCommunityPortal.PPTVIP

IT 安全 第 3节 风险管理 回顾 风险分析 - 目的是为了识别数据与其它IT资产受到威胁的不同方式，以及这些暴露的后续影响。 风险分析的输出包括- IT资产和它们从属资产的详细情况 剩余风险的测量 现有保护措施的评估 风险管理 目的是识别、选择和实施所必需的控制，使剩余风险降低到可接受的水平 风险处理的方法: 风险转换 风险管理 风险消除 风险接受 控制的类型 一项控制是对系统的一种检查或约束，用于增强系统的安全性 控制可以用于 - 减轻威胁 降低面对威胁的脆弱性 减轻威胁的影响 检测影响 从影响中恢复 影响控制选择的因素 剩余风险的水平 现有控制的成本效益 实现问题 - 控制的范围 终生成本 对运行效率的影响 平衡安全的需求 IS 起点 许多控制可视为指导性原则，提供了一个好的起点 适用于绝大多数组织和环境 这样的控制应: 从立法角度来看，很重要 基于通常的最佳实务 IS 起点 – 立法 从法律角度来看，组织必须考虑的控制措施是 : 数据保护和个人信息的保密 组织记录的保护 知识产权 IS 起点 – 最佳实务 通常最佳控制实务是: 信息安全策略文档 信息安全职责的分配 信息安全教育和培训 安全事件的报告 业务持续管理 风险管理流程 措施的优先次序 评估推荐的控制选项 结合成本效益分析 选择控制措施 分配职责 开发一个保障实施计划 实施所选的控制措施 总结 风险管理 – 目的是将剩余风险降到可接受的水平 控制分类 – 减轻威胁、脆弱性、影响、检测、恢复 影响控制选择的因素- 剩余风险; 现有控制的成本效益; 获取问题 IS 安全起点 风险管理流程 IT 审计 培训 IT 安全 : S3/ * 2007,3 Page *