危机管理及风险评估基础知识.pptxVIP

风险评估与管理 ;风险评估与管理;1 概念解析;概念解析1 - 风险;概念解析1 - 风险（续）;概念解析2 - 风险管理;概念解析2 - 风险管理;概念解析3 - 风险评估;概念解析3 - 风险评估（续）;概念解析4 - 风险分析;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - 风险分析（续）;概念解析4 - ??险分析（续）;概念解析5 - 风险评价;概念解析5 - 风险评价（续）;概念解析6 - 风险处理;概念解析6 - 风险处理（续）;概念解析6 - 风险处理（续）;概念解析 – 与过程相关概念小结;概念解析7 - 资产;概念解析7 - 资产（续） ;概念解析7 - 资产（续）;威胁(threat) 威胁是一个单位的信息资产的安全可能受到的侵害。 ISO 17799 将威胁定义为对组织造成潜在影响的原因。 NIST SP800-30将威胁定义为可能对系统造成损害的事件或实体。;概念解析8 - 威胁（续）;概念解析8 - 威胁（续）;概念解析8 - 威胁（续）;概念解析8 - 威胁（续）;概念解析9 - 脆弱性;概念解析9 - 脆弱性（续）;概念解析9 - 脆弱性（续）;概念解析9 - 脆弱性（续）;概念解析10 - 防护措施;概念解析- 与要素相关概念小结;风险评估与管理;2 信息安全风险管理的一般过程;2.1 信息安全风险评估的过程;2.1 信息安全风险评估的过程(续) ;2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.1 信息安全风险评估的过程(续);2.2 信息安全风险处理的过程;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;2.2 信息安全风险处理的过程（续）;风险评估与管理;3 风险评估与风险管理的其它问题;3.1 风险评估的脚色和责任;基本风险评估方法 基本的风险评估是只利用直接和简单的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。 详细风险评估方法 详细的风险评估就是对资产、威胁和脆弱性进行详细的识别与评价，详细的风险评估结果被用于风险评估和安全控制措施的识别和选择。 ;3.2 风险评估方法(续) ;3.3 风险评估工具;3.3 风险评估工具（续）;根据评估方与被评估方的关系，他们和信息资产的关系分为： 自评估　是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。 检查评估　由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。 委托评估　指信息系统使用单位委托具有风险评估能力的专业评估机构（国家建立的测评认证机构或安全企业）实施的评估活动。 ;3.4 风险评估与等级保护、认证认可关系;一次成功的风险管理计划取决于： 高层管理部门的支持； 信息团队的全力支持与参与； 风险评估团队的能力； 用户的意识和合作； 对与信息相关的使命风险进行持续的评价和评估。