信息安全风险评估实例 .pptx

信息安全风险评估实例;本章概要： 之前介绍了信息安全风险评估的基本过程，本章以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和信息安全风险评估的基本过程，将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。;本章目录;1 评估准备;;; ;;9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。七月-21七月-21Thursday, July 22, 2021 10、市场销售中最重要的字就是“问”。10:55:2410:55:2410:557/22/2021 10:55:24 AM 11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。七月-2110:55:2410:55Jul-2122-Jul-21 12、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。10:55:2410:55:2410:55Thursday, July 22, 2021 13、He who seize the right moment, is the right man.谁把握机遇，谁就心想事成。七月-21七月-2110:55:2410:55:24July 22, 2021 14、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。22 七月 202110:55:24 上午10:55:24七月-21 15、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。七月 2110:55 上午七月-2110:55July 22, 2021 16、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。2021/7/22 10:55:2410:55:2422 July 2021 17、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。10:55:24 上午10:55 上午10:55:24七月-21 ;;;;;　　8.1.6.2 项目阶段划分 　　　本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 　　　项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。 　　　现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料记录表单》。 　　　检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。;ID;　　　8.1.7 获得最高管理者对信息安全风险评估工作的支持 　　　上述所有内容得到了相关管理者的批准，并对管理层和员工进行了传达。;8.2 识别并评价资产;资产编号;;资产编号;;资产编号;8.3 识别并评估威胁;威胁编号;8.4 识别并评估脆弱性;表8-6 技术脆弱性评估结果 ;8.5 分析可能性和影响;8.5.2 分析脆弱性严重程度 脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。;8.6 风险计算;资产;8.6.1 使用矩阵法计算风险;资产;资产;8.6.2 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。;8.7风险处理;资产ID0;资产ID0;8.7风险处理;8.7.2.2 风险控制目标;8.7.3 控制措施选择;编号;8.8 编写信息安全风险评估报告;具体步骤如下： 1．风险评估的准备工作。 ⑴ 确定风险评估的目标； ⑵ 确定风险评估的范围； ⑶ 组建适当的评估管理与实施团队； ⑷ 进行系统调研； ⑸ 确定评估依据和方法； ⑹ 获得最高管理者对风险评估工作的支持 ;　2．识别并评价资产。 在划定的评估范围内，以网络拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，形成一个信息资产的清单。在识别出所有信息资产后，为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值，根据三个安全属性的权值计算资产的价值。形成《系统信息资产识别清单》。确定关键资产，详细识别关键资产的安全属性，并对关键资产的重要性进行赋值，形成《系统重要信息资产评