信息安全风险评估资料.ppt

* * * * * * * 完整性（反映问题全面） 具体性（问题有针对性，能具体反映一个实际问题） 简洁性（问题通俗易懂，回答方式简单，使客户工作量最小） 一致性（问题答案能一致的反映出实际的安全程度） * * * * * * * * * * * * * 在区公司建立基本的预警、防护、监控和应急体系，解决高风险问题，并保证所有安全产品的最优化作用。 * * * * * * * * 风险分析 风险计算：R＝F（A，T，V） 威胁路径 风险综合分析：对所有风险进行识别、统计、分析，确定极度风险，为下一步安全措施的选择提供依据。 极度风险SWOT分析。 优势－弱势－机会－威胁矩阵（SWOT) 优势－S 优势项目 弱势－W 弱势项目 1 2 … n 1 2 … n 1 2 … n 1 2 … n 机会－O 威胁－T SO WO ST WT 利用机会 发挥优势 利用机会 克服弱势 利用优势 降低威胁 减少弱势 回避威胁 在内部、外部关键要素确 定的基础上，根据判断结 果将内部优势与劣势、外 部机会与威胁分别列出， 有内因到外因两种状态相 匹配，形成了SO、WO、 ST、WT四种不同组合 1 2 … n 1 2 … n 1 2 … n 1 2 … n 风险管理 风险分类处理建议 E：极度风险---要求立即采取措施 H：高风险-----需要高级管理部门的注意 M：中等风险---必须规定管理责任 L: 低风险-----用日常程序处理 风险处理方式包括：降低、避免、转移、接受 制定安全解决方案 鉴定已有措施 组织安全策略的规范化 安全需求补充 技术和费用衡量 风险计算模型 输出结果 最终报告 《风险评估报告》 风险评估范围 资产评估报告 威胁评估报告 脆弱性评估报告 风险分析报告 《安全现状分析报告》 《安全建议方案》 《安全规划方案》 ISMS管理体系 测试及加固报告 《安全漏洞扫描报告》 《网络设备人工检查报告》 《主机设备人工检查报告》 《日志分析报告》 《渗透测试报告》 《安全修补及加固方案》 建议方案总体思路 安全组织体系 安全管理体系 安全技术体系 建设全面的信息安全保障体系 安全组织体系 决策层 管理层 业务安全决策 安全战略规划 安全保证决策 信息安全领导小组 信息安全管理部门 安全管理 系统安全工程 安全保证管理 信息安全执行部门 实施与运作 运行管理 安全保证实施 执行层 建立安全组织三层结构 明确部门及岗位安全职责 建立兼职安全管理岗位 技术岗位任职资格规范 建立岗位资格考核制度 建立关键岗位审计制度 建立适宜安全培训体系 组织体系为核心！ 安全管理体系 管理体系为保障！ 安全技术体系 技术体系为支撑！ 安全规划方案 防病毒 安全域划分与边界整合 入侵检测系统 日志审计系统 设备安全加固 整体安全体系 技术体系建设 补丁分发 应用系统代码审核 抗拒绝服务系统 组织体系建设 管理体系建设 一期 二期 三期 流量监控系统 安全组织结构 组织安全职责 安全岗位设置 岗位安全职责 基础安全培训 高级安全培训 中级安全培训 岗位考核管理 安全管理培训 安全巡检小组 确定总体方针 统一安全策略体系 基础制度管理 资产登记管理 主机安全管理 基础流程管理 安全技术管理 网络安全管理 应用安全管理 数据安全管理 应急安全管理 工程安全管理 安全审计管理 身份认证 访问控制（防火墙，网络设备，隔离设备） 安全通告 漏洞扫描 行为审计系统 终端管理系统 应急灾备中心 无此措施 需要完善 已有措施 VPN 远景展望 一期：基础安全技术保障措施建设，区、地州级基础安全管理体系建设 二期：增强性安全技术保障措施， 区、地州级安全管理体系完善建设 三期：安全管理中心建设，完善的安全技术、安全管理测评体系建设 基线安全 中级安全 稳定运营 ISMS体系 评估过程中风险的规避 数据泄露的风险规避 签署保密协议 实施工具的数据清除 工具实施的风险规避 实施前的数据备份 确认后的实施计划 确认后的应急和回退方案 总结阶段风险的控制 采集的数据进行确认 分析方法进行确认 质量保证和管理 专职的质量控制人员 质量控制措施 配置管理 变更控制管理 项目沟通 合同评审 设计控制 过程控制 服务控制 报告 评估中的相关服务 安全培训 安全咨询 安全加固 安全通告 应急响应 培养、提高用户自评估能力 等级化思想 等级保护咨询服务内容 资料来源：罗兰?贝格 等级保护咨询服务 信息系统划分 安全运行管理阶段 安全实施/实现阶段 安全规划设计阶段 安全定级阶段 系统业务安全性分析 系统辅助定级 等级保护导入培训 系统安全需求导出 等级化风险评估 系统安全总体设计 安全建