风险评估流程及标准【共34张PPT】.pptVIP

安全通告服务系统地向用户传递最新安全技术和安全信息安全培训服务安全管理培训评估方法培训安全审计培训安全加固培训定制培训CISP培训……风险评估流程及标准优选风险评估流程及标准安全评估体系及标准安全评估服务体系风险评估内容与过程风险评估服务组件ISO/IEC17799(BS7799)、ISO/IECTR13335国家标准《信息安全评估指南》策略评估（文档格式、文档体系、文档内容)BS7799-2是建立信息安全管理系统（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），其中详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据BS7799-2建立的ISMS进行认证），还有一系列相应的注册认证过程。每个子项分为5-15个知识点后续改善工作是持续的过程国家标准《信息安全评估指南》??系统开发和维护（Systemdevelopmentandmaintenance）；安全体系及建设规划建议报告5-体系规划和策略方案阶段安全体系设计、安全规划

安全策略制定

网络安全管理和技术解决方案??安全策略（Securitypolicy）；作为一套管理标准，BS7799-2指导相关人员怎样去应用ISO/IEC17799，其最终目的，还在于建立适合企业需要的信息安全管理系统（ISMS）。5-体系规划和策略方案阶段安全体系设计、安全规划

安全策略制定

网络安全管理和技术解决方案6-支持和维护

培训

漏洞跟踪售后服务

电话热线支持

售后服务网络架构评估（网络架构、接入方式等）系统地向用户传递最新安全技术和安全信息国家标准《信息安全评估指南》安全评估体系基线安全评估网络架构评估业务系统评估管理安全评估安全风险评估全面安全解决方案（TotalSolution）安全咨询安全加固安全产品部署安全培训紧急响应客户需求定制安全评估组件的关系安全风险评估安全体系建设安全规划安全策略安全解决方案周期评估加固安全项目建设应急响应安全培训资产价值安全评估服务体系风险评估内容与过程风险评估服务组件公司介绍成功案例介绍威胁影响概率弱点价值资产拥有者信息资产威胁来源风险后果可能性现有安全措施影响影响半定量分析模型系统地向用户传递最新安全技术和安全信息业务相关性分析，根据信息策略评估（文档格式、文档体系、文档内容)ISO/IECTR13335??安全策略（Securitypolicy）；5-体系规划和策略方案阶段安全体系设计、安全规划

安全策略制定

网络安全管理和技术解决方案??业务连续性管理（Businesscontinuitymanagement）；登录检查(LoginCheck)Sharing(共享)安全体系及建设规划建议报告Information(信息)网络架构方面安全问题分为8个大类应用安全评估（业务流程、数据流、业务连续性等）每个子类分为3-8个子项6-支持和维护

培训

漏洞跟踪售后服务

电话热线支持

售后服务安全风险评估组件资产调查基线安全评估安全威胁评估工具扫描弱点网络架构安全评估业务系统安全评估主机弱点人工评估网络配置弱点评估安全设备弱点评估保护对象分析基线安全评估特点是一种技术评估操作最简单内容最基础历时最短结果最直观基线安全评估内容基线安全评估BaseLineSecurityEvaluation工具扫描(Scanning)登录检查(LoginCheck)Vulnerability(漏洞)WeakPass(弱口令)Configuration(配置)Information(信息)Sharing(共享)LocalVul.(本地漏洞)Mechanism(安全机制)Foresic(入侵取证)工具扫描扫描器终端漏洞库升级接入IP地址交换机端口电源网线配合人员扫描申请报告授权范围列表扫描范围核实非业务高峰期双机热备分开拒绝服务项关闭固定范围准备阶段扫描30-60分钟风险规避开始扫描系统分类现场培训保密协议登录检查控制台操作账号口令配合人员登录授权范围选定检查项审核准备阶段检查40-60分钟风险规避开始检查现场培训一人操作一人监督检查项列表操作记录无写操作保密协议人工小组----核心设备评估人工小组