信息安全风险评估国家标准编制及内容介绍.pptVIP

内容总结 信息安全风险评估国家标准。选择试点环节参与实际试点。--对风险评估的工具进行了梳理和区分，形成了现。专家组认为送审稿达到国家标准送审稿的要求，同意通过评。2006年３月６日和３月１６日，在国信办进行的。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产。如在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。威胁评估：应全面地分析威胁的可能性和影响程度。当信息系统不能满足现有要求时，信息系统进入废弃阶段。根据废弃的程度，又分为部分废弃和全部废弃两种。1、确保硬件和软件等资产及残留信息得到了适当的处置，并确保系。61 第六十二页，共六十二页。 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 * 第三十页，共六十二页。 1、什么是风险评估 信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 　 信息安全风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 * 第三十一页，共六十二页。 风险评估要素关系图 图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。 （1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； （2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件； （4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大； （5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； （6）风险的存在及对风险的认识导出安全需求； （7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； （8）安全措施可抵御威胁，降低风险； （9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险； （10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 * 第三十二页，共六十二页。 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 * 第三十三页，共六十二页。 2、为什么要做风险评估 安全源于风险。 在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。 * 第三十四页，共六十二页。 风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。 * 第三十五页，共六十二页。 信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。 （国信办[2006]5号文件） * 第三十六页，共六十二页。 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 * 第三十七页，共六十二页。 3、风险评估怎么做 -风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估 * 第三十八页，共六十二页。 3、风险评估怎么做 -风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估 * 第三十九页，共六十二页。 风险评估的实施流程 先期准备 要素分析 风险分析 文档记录 风险评估实施流程图 * 第四十页，共六十二页。 　　实施步骤 (1) 风险评估的准备 (2) 资产识别 (