信息安铅全风险管理.pptxVIP

国家（上海）信息安全工程技术研究中心 上海世博会信息化安全性检测与评估技术联合实验室 2010年9月 信息安全风险管理 主要内容 风险与风险管理 风险（Risk）在信息安全领域讲，就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。 风险评估（Risk Assessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。 风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。 风险管理的形象描述 系统基本风险 采取措施后残余风险 安全成本与利益的平衡 绝对安全是不现实的 寻求达到安全目标与安全成本的平衡 风险管理的实际操作流程 风险评估是风险管理过程中的关键步骤 风险评估的一般方法 定量风险评估：试图从数字上对安全风险进行分析评估的一种方法。 定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。 风险评估量化计算模型 渗透测试模型 国内外信息安全发展现状（标准体系） 国内 等级保护体系(GB 17859) 信息安全保障体系(GB/T 20274) …… 国际 技术体系(RFC、NIST-SP800) 管理体系(ISO27001/ISO27002) 评估体系(ISO15408) …… ISO27001-风险管