信息安全风险评估与风险管理教材.ppt

贯穿风险评估 风险程度分析 已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档 已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果 《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效 风险等级评价 威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档 威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果 《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效 贯穿风险控制 阶段 监控 审查 过程有效性 成本有效性 结果有效性 现存风险判断 可接受风险等级确定和现存风险接受判断的流程及其相关文档 可接受风险等级确定和现存风险接受判断的成本与效果 《风险接受等级划分表》和《现存风险接受判断书》的时效 控制目标确立 风险控制需求分析和风险控制目标确立的流程及其相关文档 风险控制需求分析和风险控制目标确立的成本与效果 《风险控制需求分析报告》和《风险控制目标列表》的时效 贯穿风险控制 控制措施选择 风险控制方式和措施选择的流程及其相关文档 入选风险控制方式和措施的成本与效果 《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效 控制措施实施 风险控制实施计划制定和风险控制措施实施的流程及其相关文档 风险控制实施计划制定和风险控制措施实施的成本与效果 《风险控制实施计划书》和《风险控制实施记录》的时效 贯穿审核批准 阶段 监控 审查 过程有效性 成本有效性 结果有效性 审核申请 审核申请和受理的流程及其相关文档 审核申请和受理的成本与效果 《审核申请书》、《审核材料》和《审核受理回执》的时效 审核处理 审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档 审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果 《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效 贯穿审核批准 批准申请 批准申请和受理的流程及其相关文档 批准申请和受理的成本与效果 《批准申请书》和《批准受理回执》的时效 批准处理 审阅批准材料和批准决定做出的流程及其相关文档 审阅批准材料和批准决定做出的成本与效果 《批准决定书》的时效 持续监督 《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档 《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果 《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效 监控与审查的文档 过程 输出文档 文档内容 对象确立 《对象确立的监控与审查记录》 对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。 风险评估 《风险评估的监控与审查记录》 风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。 风险控制 《风险控制的监控与审查记录》 风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。 审核批准 《审核批准的监控与审查记录》 审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。 三、信息安全风险管理各组成部分 　　 1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、监控与审查 6、沟通与咨询 沟通与咨询的概述 　　 　　沟通与咨询为信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。 沟通与咨询的方式 方式 接受方 决策层 管理层 执行层 支持层 用户层 发 出 方 决策层 交流 指导和检查 指导和检查 表态 表态 管理层 汇报 交流 指导和检查 宣传和介绍 宣传和介绍 执行层 汇报 汇报 交流 宣传和介绍 培训和咨询 支持层 培训和咨询 培训和咨询 培训和咨询 交流 培训和咨询 用户层 反馈 反馈 反馈 反馈 交流 沟通与咨询的过程 风险等级评价 风险评估的文档 阶段 输出文档 文档内容 风险评估准备 《风险评估计划书》 风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。 《风险评估程序》 风险评估的工作流程、输入数据和输出结果等。 《入选风险评估方法和工具列表》 合适的风险评估方法和工具列表。 风险因素识别 《需要保护的资产清单》 对机构使命具有关键和重要作用的需要保护的资产