信息安全管理与信息安全风险评估教学提纲.pptVIP

DO CHECK ACT PLAN 公司治理 风险管理处理 系统控制 内部审计功能 ISO/IEC 17799 信息安全管理 与其他体系如何结合 信息安全管理 ISMS 规划阶段的工作 信息安全管理 ISMS实施阶段的工作 信息安全管理 ISMS检查阶段的工作 信息安全管理 ISMS处置阶段的工作 1.制定信息安全目标和实现目标的途径； 2.建设信息安全组织机构，设置岗位、配置人员并分配职责； 3.实施信息安全风险评估和管理； 4.制定并实施信息安全策略； 5.为实现信息安全目标提供资源并实施管理； 6.信息安全的教育与培训； 7.信息安全事故管理； 8.信息安全的持续改进。 信息安全管理 信息安全管理主要活动 “物无美恶,过则为灾” -------------《沁园春·将止酒》 信息安全风险管理与风险评估 ? 信息安全目标错误定位: 系统永不停机 数据永不丢失 网络永不瘫痪 信息永不泄密 信息安全风险评估 面对风险存在不同认识 索引内容：特殊字符 方 法 SQL注入 工 具 IE或其他浏览器 端 口 80 结 果 拿到Web后台管理账 户 页面篡改 数据失密 数据丢失 ……. 政治影响 经济影响 风险 威胁 漏洞 资产 信息安全风险评估 案例：安全威胁无所不在 黑色期: 初学, 样样都有趣, 样样都测试, 样样都不顾 黃色期: 小有成就, 区域霸主, 东躲西藏 花色期: 样样都知, 样样都會, 来无影去无踪 白色期 信息安全证件挂满脸, 安全术语挂满嘴, 机器被黑绝对不是我干的 常常被抓 偷看人家电脑 密码多到用不完 转型成功叫专家, 转型失敗蹲监狱 信息安全风险评估 历程：一黑　二黄　三花　四白 依据国家有关的政策法规及信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行科学、公正的综合评估的活动 过程。它要评估信息系统的脆弱性、信息系统面临的威 胁以及脆弱性被威胁源利用后所产生的实际负面影响， 并根据安全事件发生的可能性和负面影响的程度来识别 信息系统的安全风险。 信息安全风险评估 风险评估定义 任何信息系统都会有安全风险，所以，人们要追求 安全的信息系统，实际是指信息系统在实施了风险评 估并做出风险控制后，仍然存在的残余风险可被接受 的信息系统。 （1）方法：要追求信息系统的安全，就不能脱离 全面、完整的信息系统的安全评估，就必须运用信息 系统安全风险评估的思想和规范，对信息系统开展安 全风险评估 （2）投资：信息安全建设的宗旨之一，就是在综合考 虑成本与效益的前提下，通过安全措施来控制风险， 使残余风险降低到可接受的程度。 （3）方向：依据风险评估结果制定的信息安全解决方 案，最大限度的避免了盲目和浪费。可以使组织在信 息安全方面的投资获得最大的收益。 信息安全风险评估 风险评估意义 风险三角形 威 胁 资 产 脆 弱 性  ? 风险关键要素 　　资产 　　威胁 　　脆弱性 信息安全风险评估 风险评估基本要素 信息安全风险评估 ISO TR 13335的观点 影响 使命 保障 资产价值 成本 安全需求 被满足 安全措施 未控制 残余风险 事件 威胁 脆弱性 资产 风险 导致 增加 导出 导出 物理和环境 网络与通信 主机和系统 应用和业务 数据和介质 人员和组织 使命和价值 信息安全防护结构 公共网络 广域网络 对外发布 对外业务渠道 核心业务 内部业务 OA、财务等 业务支撑 安全保障 异地内网 异地灾备 机构内网 信息安全防护结构 安全分区图 路径和节点分析 信息安全防护结构 路径和节点分析 子网和边界分析 信息安全防护结构 子网和边界分析 ? 阶段 设计与发展 实 施 信息安全保护类别 程 序 ISO/IEC TR 15504:1998(E) SEE-CMM COBIT ISO/IEC 15026:1998(E) SEE-CMM COBIT 产品、系统与服务 ISO/IEC 15408:1999(E) (Protection Profile,简称pp) SEE-CMM COBIT ISO/IEC 15408:1999(E) (Security Target:简称ST) SEE-CMM COBIT 人员与组织 ISO/IEC TR13335 ISO TR 13569:1998(E) ISO/IEC 17799:2000(E) SEE-CMM COBIT