沈昌祥院士_风险管理与应急体系.pptx

风险管理与应急体系; 信息安全的风险管理和应急处理是信息安全保障体系中的重要环节。对保证电信网络的安全有至关重要的意义。科学合理的实施风险管理和应急处理，将为电信网络提供有效的安全保障手段。;一、信息安全的风险管理 ;风险管理就是保护组织机构的信息资产及业务，保护其完成使命的能力。不仅是其IT资产价值, 而且是专业人员实施技术功能和组织机构管理功能的综合。即信息资产的保护和业务能力的保证。;信息资产由价值表示，分为经济价值和社会价值。用下图表示：;业务能力表现在信息服务上，分为服务范围和连续性依赖程度。;等级保护应根据信息系统的综合价值和综合能力保证的要求不同来确定其相应的保护等级。;风险管理包括三个过程： 1、风险评估：对风险及其影响的识别和评价，建议如何降低风险。 2、风险减缓：对风险评估过程中所推荐的风险降低措施进行优先级排序，加以实现和维护。 3、评价确认：对风险评估结果进行判断，以明确在风险减缓措施实施后残余的风险是否可以接受。;;;;成功的关键：;二、信息安全应急体系框架;应急规划;计 划;计 划;不同计划之间的关系：;;（二）应急规划过程 1、制定应急规划的政策说明 2、实施业务影响分析 3、确定预防性控制 4、制定恢复战略 5、制定IT应急计划 6、计划的测试、培训和演习 7、计划维护;应急规划的过程：;（三）技术支持 常见的考虑事项包括： 数据、应用和操作系统的备份与异地存储 关键系统组建或能力的冗余 系统配置和要求文档 在系统组件间以及主备点间互操作，以加快系统恢复 适当规模的电源管理系统和环境控制;广域网应急策略： WAN的文档记录 和厂商的协调 与安全政策和控制保持协调 确定单点故障 实现关键组件冗余 制定服务级别协定;应急方案：确保广域网的可用性 冗余的通信线路：线路在物理上是分离的； 冗余的网络服务提供商：NSP之间没有任何点共享同一设备； 冗余的网络连接设备：双重网络连接设备； 来自NSP或者ISP的冗余：评估其核心网络的健壮性、可靠性。;结束语 我国对信息系统的风险管理和应急处理研究还刚???步，局限在政策宏观层面上，其实它们是以技术为基础的完整体系，是信息安全保障中的重要环节。我们应该学习、吸收美国等国家先进的技术，尽快建立适合国情的风险管理和应急体系。;