沈昌祥院士_风险管理与应急体系.pptxVIP

风险管理与应急体系; 信息安全的风险管理和应急处理是信息安全保障体系中的重要环节。对保证电信网络的安全有至关重要的意义。科学合理的实施风险管理和应急处理，将为电信网络提供有效的安全保障手段。;一、信息安全的风险管理 ;风险管理就是保护组织机构的信息资产及业务，保护其完成使命的能力。不仅是其IT资产价值, 而且是专业人员实施技术功能和组织机构管理功能的综合。即信息资产的保护和业务能力的保证。;信息资产由价值表示，分为经济价值和社会价值。用下图表示：;业务能力表现在信息服务上，分为服务范围和连续性依赖程度。;等级保护应根据信息系统的综合价值和综合能力保证的要求不同来确定其相应的保护等级。;风险管理包括三个过程： 1、风险评估：对风险及其影响的识别和评价，建议如何降低风险。 2、风险减缓：对风险评估过程中所推荐的风险降低措施进行优先级排序，加以实现和维护。 3、评价确认：对风险评估结果进行判断，以明确在风险减缓措施实施后残余的风险是否可以接受。;;;;成功的关键：;二、信息安全应急体系框架;应急规划;计 划;计 划;不同计划之间的关系：;;（二）应急规划过程 1、制定应急规划的政策说明 2、实施业务影响分析 3、确定预防性控制 4、制定恢复战略 5、制定IT应急计划 6、计划的测试、培训和演习 7、计划维护;应急规划的过程：;（三）技术支持 常见的考虑事项包括： 数据