信息安全管理信息安全风险管理.pdf

第 1 页 信息安全管理 第三章 信息安全风险管理 第 2 页 目 录 Contents Page 01 风险评估概述 02 风险评估流程 03 风险评估实例 04 风险评估工具 第三章 第三章 第一节 信息安全风险管理概述 第 3 页 信息安全 信息安全 风险管理 风险管理 1.1 安全风险的引入 第三章 第三章 第一节 信息安全风险管理概述 第 4 页 信息安全 信息安全 风险管理 风险管理 1.2 安全风险管理定义 信息安全风险就是特定的威胁利用资产的一种或 种脆弱性，导致资产的丢失或损害的潜在可能性，即特 定威胁事件发生的可能性与后果的结合。 第三章 第三章 第一节 信息安全风险管理概述 第 5 页 信息安全 信息安全 风险管理 风险管理 1.2 安全风险管理定义 风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息 系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过 定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风 险被避免、转移或降至一个可被接受的水平。 第三章 第三章 第一节 信息安全风险管理概述 第 6 页 信息安全 信息安全 风险管理 风险管理 1.3 安全风险管理要素 第三章 第三章 第一节 信息安全风险管理概述 第 7 页 信息安全 信息安全 风险管理 风险管理 1.4 安全风险评估分类 （1 ）基线风险评估（Baseline Risk Assessment ），是指应用直接和简易的方法 （1 ）基线风险评估（Baseline Risk Assessment ），是指应用直接和简易的方法 达到基本的安全水平，就能满足组织及其业务环境的所有要求。 达到基本的安全水平，就能满足组织及其业务环境的所有要求。 风险评估和管理任务 基本风险评估活动 列出在信息安全管理体系范围内 ，与被评估的业务环境、业务运营及信 资产识别和估 息相关的资产 威胁评估 使用与资产相关的通用威胁列表，检查并列出资产的威胁 脆弱性评估 使用与资产相关的通用脆弱性列表，检查并列出资产的脆弱性 根据前期的安全评审 ，识别并记录所有与资产相关的、现有的或已计划 对现有安全控制的识别 的安全控制 搜集由上述评估产生的有关资产、威胁和脆弱性的信息 ，以便能够以实 风险评估 用、简单的方法进行风险测量 安全控制的识别、选择及实施 ， 对于每一