信息安全风险评估解读.ppt

31 Professional Security Solution Provider 风险分析 ? 风险计算： R ＝ F （ A ， T ， V ） ? 威胁路径 ? 风险综合分析：对所有风险进行识别、统计、分析，确定 极度风险，为下一步安全措施的选择提供依据。 ? 极度风险 SWOT 分析。 32 Professional Security Solution Provider 优势－弱势－机会－威胁矩阵（ SWOT) 优势－ S 优势项目 弱势－ W 弱势项目 1 2 … n 1 2 … n 1 2 … n 1 2 … n 机会－ O 威胁－ T SO WO ST WT 利用机会 发挥优势 利用机会 克服弱势 利用优势 降低威胁 减少弱势 回避威胁 在内部、外部关键要素确 定的基础上，根据判断结 果将内部优势与劣势、外 部机会与威胁分别列出， 有内因到外因两种状态相 匹配，形成了 SO 、 WO 、 ST 、 WT 四种不同组合 1 2 … n 1 2 … n 1 2 … n 1 2 … n 33 Professional Security Solution Provider 风险管理 ? 风险分类处理建议 – E ：极度风险 --- 要求立即采取措施 – H ：高风险 ----- 需要高级管理部门的注意 – M ：中等风险 --- 必须规定管理责任 – L: 低风险 ----- 用日常程序处理 ? 风险处理方式包括：降低、避免、转移、接受 ? 制定安全解决方案 – 鉴定已有措施 – 组织安全策略的规范化 – 安全需求补充 – 技术和费用衡量 34 Professional Security Solution Provider 风险计算模型 35 Professional Security Solution Provider 输出结果 ? 最终报告 – 《风险评估报告》 ? 风险评估范围 ? 资产评估报告 ? 威胁评估报告 ? 脆弱性评估报告 ? 风险分析报告 – 《安全现状分析报告》 – 《安全建议方案》 – 《安全规划方案》 ? ISMS 管理体系 ? 测试及加固报告 – 《安全漏洞扫描报告》 – 《网络设备人工检查报告》 – 《主机设备人工检查报告》 – 《日志分析报告》 – 《渗透测试报告》 – 《安全修补及加固方案》 36 Professional Security Solution Provider 建议方案总体思路 安全组织体系 安全管理体系 安全技术体系 建设全面的信息安全保障体系 37 Professional Security Solution Provider 安全组织体系 决策层 管理层 业务安 全决策 安全战 略规划 安全保 证决策 信息安全领导小组 信息安全管理部门 安全管理 系统安 全工程 安全保 证管理 信息安全执行部门 实施与 运作 运行管理 安全保 证实施 执行层 ? 建立安全组织三层结构 ? 明确部门及岗位安全职责 ? 建立兼职安全管理岗位 ? 技术岗位任职资格规范 ? 建立岗位资格考核制度 ? 建立关键岗位审计制度 ? 建立适宜安全培训体系 组织体系为 核心！ 信息安全风险评估 风险评估流程介绍 风险评估特点介绍 风险评估与等级保护的结合 绿盟科技 服务产品部 孙铁 2008 年 3 月 2 Professional Security Solution Provider 员工和客户访问资源 可用性 客户和业务信息的保护 机密性 客户和业务信息的可信赖性 完整性 信息安全的涵义 ? Confidentiality ：阻止未经授权的用户读取数据 ? Integrity ：阻止未经授权的用户修改或删除数据 ? Availability ：保证授权实体在需要时可以正常地使用系统 3 Professional Security Solution Provider Confidentiality 保密性 Availability 可用性