CISP0302信息安全风险管理.pptx

信息安全风险管理;课程内容;知识域：风险管理工作内容;风险管理是各行业采取的普遍工作方法;通用风险管理定义;信息安全工作为什么需要风险管理方式;信息安全工作为什么需要风险管理方式（续）;风险管理是信息安全保障工作有效工作方式;什么是信息安全风险管理;正确的风险管理方法;信息安全风险管理的目标;信息安全风险术语;信息安全风险术语-资产;信息安全风险术语-威胁;信息安全风险术语-脆弱性;信息安全风险术语-控制措施;信息安全风险术语-可能性;信息安全风险术语-影响;信息安全风险术语-风险;信息安全风险术语之间的关系;信息安全风险术语-风险;信息安全风险术语-残余风险;信息安全风险术语-风险评估;风险评估的理解;信息安全风险术语-风险评估vs风险管理;信息安全风险管理工作内容;建立背景;背景建立过程;风险管理工作内容;风险评估;风险评估过程;风险管理工作内容;风险处理;风险处理过程;减低风险 转移风险 规避风险 接受风险 ;减低风险;减低风险的具体办法;减低风险的具体办法;转移风险;转移风险的具体做法;规避风险;接受风险;风险管理工作内容;批准监督;批准监督过程;风险管理工作内容;监控审查的意义;监控审查过程;风险管理工作内容;沟通咨询;沟通咨询过程;知识域：风险管理工作内容;何时作风险管理; 明确信息系统安全建设的目的,对信息系统安全建设实现的可能性进行分析论证并设计出总体安全规划方案。 为了保证安全目标的实现，需要对信息系统规划阶段中可能引入安全风险的环节进行风险管理，从而降低在项目后期处理相同安全风险所带来的高额成本。 ;序号; 依据规划阶段输出的总体安全规划方案来设计信息系统安全的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。 在设计信息系统的实现结构和实施方案时，在技术的选择、配合、管理等众多的环节均容易引入安全风险，因此对关键的环节应提出必要的安全要求并有针对性地进行安全风险管理。 ;信息系统设计阶段的信息安全风险管理 ; 按照规划和设计阶段所定义的信息系统安全实施方案 采购设??和软件，开发定制功能 集成、部署、配置和测试信息系统的安全机制 培训人员 对是否允许系统投入运行进行批准监督 。 ;信息系统实施阶段的风险管理 ; 在信息系统经过授权投入运行之后，确保在运行过程中，以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性。 ;信息系统运行维护阶段的风险管理 ; 确保对信息系统的过时或无用部分进行安全报废处理，防止信息系统的安全要求和安全功能遭到破坏。 ;信息系统废弃阶段的风险管理;知识域：信息安全风险评估实践;国家对开展风险评估工作的政策要求;国家对开展风险评估工作的政策要求;《关于开展信息安全风险评估工作的意见》的实施要求;《关于开展信息安全风险评估工作的意见》的实施要求;《关于开展信息安全风险评估工作的意见》的管理要求;《关于开展信息安全风险评估工作的意见》的管理要求;CNITSEC;CNITSEC;CNITSEC;风险评估、检查评估和等级保护测评之间的关系;风险评估实施流程;; 准备 识别 计算 报告 ; 风险评估准备工作 ; 现场测评 ;80;81;资产识别;83;威胁分类;85;脆弱性识别内容;常见脆弱性识别工作方式;现有安全控制措施识别;（二）风险分析;;定量分析方法;定量分析方法（续）;后果或影响的定性量度（示例）;可能性的定性量度（示例）;风险分析矩阵—风险程度;定性分析方法-矩阵法;定性分析方法-相乘法;定性分析与定量分析;（三）风险评估工作形式; 风险评估的工作形式—自评估;风险评估的工作形式—检查评估;（四）风险评估工具;知识域：信息安全风险评估实践; 评估依据; 评估范围-被评估单位选择; 评估范围-评估对象选择; 评估范围-评估内容; 实施内容—评估准备;实施评估-现场信息获取; 实施评估-风险计算;风险列表; 实施评估-风险处置建议; 实施内容—评估的具体方法;规避风险评估工作带来的新风险;谢谢，请提问题！