CISP0302信息安全风险管理 v3.0.pptx

信息安全风险管理;课程内容;知识域：信息安全风险管理基础;风险，指事态的概率及其结果的组合 （—— GB/Z 24364-2009《信息安全风险管理指南》） 信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》） 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性;风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）;风险相关术语;资产;威胁;脆弱性;可能性;对风险概念的理解;对信息安全风险的理解;信息安全风险评估;风险处理、风险管理;安全措施/控制措施;残余风险;风险相关要素之间的关系;知识域：信息安全风险管理基础;实施风险管理的主要原则;风险管理的范围和对象;知识域：信息安全风险管理基础;我国有关信息安全风险管理的政策要求;《关于开展信息安全风险评估工作的意见》 （国信办[2006]5号）的实施要求;《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）的管理要求;《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）;信息安全风险管理相关的国内外标准;知识域：信息安全风险管理主要内容;信息安全风险管理工作内容;背景建立;背景建立过程;风险评估;风险评估过程;风险处理;风险处理过程;减低风险 转移风险 规避风险 接受风险 ;减低风险;减低风险的具体办法;转移风险;规避风险;接受风险;批准监督;批准监督过程;监控审查的意义;监控审查过程;沟通咨询;沟通咨询过程;知识域：信息安全风险管理主要内容;信息系统生命周期与信息安全风险管理的关系;规划;序号;系统设计阶段的安全目标;系统设计阶段的信息安全风险管理 ;系统实施阶段的安全目标;系统实施阶段的信息安全风险管理 ; 在信息系统经过授权投入运行之后，确保在运行过程中，以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性 ;系统运维阶段的信息安全风险管理 ; 确保对信息系统的过时或无用部分进行安全报废处理，防止信息系统的安全要求和安全功能遭到破坏 ;信息系统废弃阶段的风险管理;知识域：信息安全风险评估;风险评估工作形式;自评估;检查评估;风险评估、检查评估和等级保护测评之间的关系;知识域：信息安全风险评估;定性风险分析;可能性的定性量度（示例）;根据预设的等级划分规则判定风险结果 依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级 ;定量风险分析;定量风险分析——年度预期损失法;步骤4 - 确定年预期损失ALE ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值（ALE 类似于定性风险分析的相对级别） 步骤5 - 确定控制成本 控制成本就是为了规避企业所存在风险的发生而应投入的费用 步骤6 - 安全投资收益ROSI ROSI = (实施控制前的ALE）–（实施控制后的ALE） –（年控制成本）;定性分析与定量分析;在风险分析过程中综合使用定性和定量风险分析技术对风险要素赋值的方式，实现对风险各要素的度量数值化 在实际的风险分析活动中，经常采用半定量的风险分析方法;半定量风险分析——相乘法;知识域：信息安全风险评估;风险评估准备 风险要素识别 风险分析 风险结果判定;76;77;78;79;资产识别;81;威胁分类;83;脆弱性识别内容;常见脆弱性识别工作方式;确认已有的安全控制;87;风险分析;89;知识域：信息安全风险评估;风险评估工具;92;谢谢，请提问题！