信息安全风险管理.pptxVIP

第三章 信息安全风险管理;学习目标：;3.1 引言;1.风险识别：检查和说明机构信息技术的安全态势和机构面临的风险。 （风险评估就是说明风险识别的结果） 2.风险控制：采取控制手段，减少机构数据和信息系统的风险。 风险管理整个过程：找出机构信息系统中的漏洞，采取适当的步骤，确保机构信息系统中所有组成部分的机密性、完整性和有效性。 ;3.2风险管理概述; 3.2.3 利益团体的作用 1.信息安全 信息安全团队组成：最了解把风险带入机构的威胁和攻击的成员 2.管理人员 确保给信息安全和信息技术团体分配充足资源（经费和人员），以满足机构的安全需要。 3.信息技术 建立安全的系统，并且安全地操作这些系统;信息安全保护的对象是什么？;3.3风险识别;规划并组织过程 ;为资产受到的攻击赋值 ;3.3.1 资产识别和评估;3.3.2 信息资产分类;3.3.3 信息资产评估 评估资产的价值。 评估价值标准： 1.哪一项信息资产对于成功是最关键的？ 2.那一项信息资产创造的收效最多？ 3.哪一项资产的获利最多？ 4.哪一项信息资产在替换时最昂贵？ 5.哪一项信息资产的保护费用最高？ 6.哪一项信息资产是最麻烦的，或者泄漏后麻烦最大？;3.3.4 安全调查 数据分类技术——个人安全调查机构 给每一个数据用户分配一个单一的授权等级 3.3.5 分类数据管理 1.数据的存储 2.数据的分布移植 3.数据的销毁 清洁桌面政策：要求员工在下半时将所有的信息 放到适当的存储器中。 ;3.3.6 威胁识别和威胁评估;威胁评估过程：;3.3.7 漏洞识别;3.4 风险评估;3.4.2 信息安全风险评估原则;3.4.3 风险评估的过程;3.识别可能的控制（访问控制） 访问控制：控制用户进入机构信息区域 访问控制方法：强制、非任意、任意。 4.记录风险评估的结果 过程：信息资产列表（分类）→带有漏洞的信息资产列表→权重标准分析表→漏洞风险等级表;成果;3.5风险控制策略 ; 3.5.2 转移 （将风险转移到其他资产、其他过程或其他机构的控制方法） 如何提供服务、修改部署模式、外包给其他机构、购买保险、与提供商签署服务合同。;3.5.3 缓解 （??图通过规划和预先的准备工作，减少漏洞造成的影响） 缓解策略（如下表）;计划;3.5.4 接受 （选择对漏洞不采取任何保护措施，接受漏洞带来的结果） 1.确定了风险等级 2.评估了攻击的可能性 3.估计了供给带来的潜在破坏 4.进行了全面的成本效益分析 5.评估了使用每种控制的可行性 6.认定了某些功能、服务、信息或者资产不值得保护 结论：保护的资产的成本抵不上安全措施的开销。;3.6 选择风险控制策略;可能的威胁;风险处理决策： 存在漏洞：实现安全控制，来减少漏洞被利用的可能性 （1）漏洞可以利用 （2）攻击着的开销少于收益 （3）可能的损失非常大 ●实现了控制策略，就应对控制效果进行监控和衡量，来确定安全控制的有效性，估计残留风险的准确性。 连续循环过程确保控制风险;标示信息资产;3.7风险管理的讨论要点;3.8 验证结果