危机管理及风险评估基础知识.pptVIP

2.2 信息安全风险处理的过程 来自风险评估报告的风险级别 由高到底的行动优先级 风险评估报告 可能的控制清单 成本效益分析 所选择的安全防护措施 责任人员清单 步骤2：评估所建议的安全选项 可用性 有效性 步骤3：实施成本效益分析 步骤4：选择安全防护措施 步骤5：分配责任 步骤6：制定安全措施的实现计划 风险及相关风险的级别 优先级排序后的行动 所建议的安全防护措施 所选择的预期安全措施 责任人员 开始日期 目标完成日期 维护要求 安全措施实现计划 步骤7：实现所选择的安全措施 残余风险 步骤1：对行动优先级进行排序 第六十二页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤1: 对行动优先级进行排序 基于在风险评估报告中提出的风险级别，对风险处理的实现行动进行优先级排序。在分配资源时，标有不可接受的高等级（例如被定义为“非常高”或“高”风险级的风险）的风险项应该最优先。这些脆弱性/威胁对需要采取立即纠正行动以保护单位的利益和使命。 第六十三页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤2: 评估所建议的安全选项 风险评估过程中建议的安全防护措施对于具体的单位及其信息系统可能不是最适合和最可行的。在这一步中，要对所建议的安全防护措施的可行性（如兼容性、用户接受程度）和有效性（如保护程度和风险控制的级别）进行分析。目的是选择出最适当的安全防护措施，使风险降至最低。 第六十四页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤3: 实施成本效益分析 为了帮助管理层做出决策并找出成本有效性最好的安全控制，要实施成本效益分析。 第六十五页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤4: 选择安全防护措施 在成本效益分析的基础上，管理人员应确定成本有效性最好的安全防护措施来降低单位的风险。 第六十六页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤5: 责任分配 遴选出那些拥有合适的专长和技能，可实现所选安全防护措施的人员（内部人员或外部合同商），并赋以相应责任。 第六十七页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤6: 制定安全防护措施的实现计划 在本步中将制定安全防护措施的实现计划。 第六十八页，共八十页。 2.2 信息安全风险处理的过程（续） 步骤7: 实现所选择的安全防护措施 根据各自情况的不同，所实现的安全控制可以降低风险级但不会根除风险。实现安全防护措施后仍然存在的风险为残余风险。 风险处理过程结束！ 第六十九页，共八十页。 风险评估与管理 与风险评估和风险管理相关的概念解析 信息安全风险管理的一般过程 风险评估与风险管理的其它问题 第七十页，共八十页。 3 风险评估与风险管理的其它问题 3.1 风险评估的角色和责任 3.2 风险评估方法 3.3 风险评估工具 3.4 风险评估模式分析 3.5 风险评估与等级保护、认证认可的关系 第七十一页，共八十页。 3.1 风险评估的脚色和责任 信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者（即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构）。 第七十二页，共八十页。 概念解析7 - 资产（续） 物理资产：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备（供电设备、空调设备）、家具、办公场所等。 人员：员工、客户、合同工、警卫。 服务：计算和通讯服务及其它技术服务（供暖、照明、电力、空调）等。 公司形象和声誉：如正面和负面的宣传、品牌附加值等。 第三十页，共八十页。 威胁(threat) 威胁是一个单位的信息资产的安全可能受到的侵害。 ISO 17799 将威胁定义为对组织造成潜在影响的原因。 NIST SP800-30将威胁定义为可能对系统造成损害的事件或实体。 概念解析8 - 威胁 第三十一页，共八十页。 概念解析8 - 威胁（续） 威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。 第三十二页，共八十页。 概念解析8 - 威胁（续） 以下几种都是常见的威胁： 对信息、信息系统、网络和网络服务的非授权访问 这些一般都是有意图、有目的的行为，会对信息的保密性、完整性和可用性造成损害，损害的程度决定于非授权用户的目的和拥有的权限。 信息的非授权修改 这是一种有预谋的威胁，可能会损害资产的保密性与可用性。 第三十三页，共八十页。 概念解析8 - 威胁（续） 恶意软件 恶意软件的引入可以是有意的（具有一定的目的和企图）和无意的（运行了来历不明的软件），恶意软件威胁资产的保密性、完整性和可用性。 软件失效 由于有预谋的事件或意外事件发生，从而导致软件的完整性与可用