网络安全风险管理.pptx

  1. 1、本文档共21页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

网络安全风险管理

网络安全风险管理方法论

网络安全风险管理的必要性

重点关注内容

网络安全风险识别

开发与企业风险管理框架相一致的综合网络风险管理框架

通过要求批准和认证信息安全计划、政策和标准建立高级管理层和董,会责任制

增强操作要求和管控如加密和多因素身份验证

网络安全态势

全球监管机构已将网络风险管理的主题置于日益严格的审查之下要求各个机构评估其网络安全计划的成熟程度管理网络风险并增强抵御网络攻击的能力。

战略方针

虽然各组织必须遵守每个管理机构提出的各种条例但它们提:的指导大体上是一致的。因此组织应采取T于风险的方法满足所有相关的法规要求保护其“核心业I”与敏感和关键级别相匹配。

网络风险管理的战略方法可以帮助组织

全面了解网络风险、其组织和其他机构面临的威胁

根据相关的法规要求评估现有IT和网络安全计划和能力

将网络安全和IT转换计划与战略目标和关键风险相匹配

理解接受的风险和记录的补偿控制

评测认证机制

检测预警与应急

安全审查制度

等级保护制度

.1I巨

要求

网络安全风险管理思路

企业现况:

随着网络威胁格局的日益复杂化和网络犯罪的加剧3业的经营风险也随之增加。4统的组织缺,一种有效的网络风险管理模型。因此网络风险管理经常与更广泛的风险管理框架保持某种脱节。组织必须制定领:的风险管理框架并与组织内的其他主要利益攸关方协作以防止网络成为一个棘手的问题可能对整个3业造成不可挽回的损害。

解决方案:

为.建立一个强健的网络风险管理计划我1建议执行管理层采取以下步骤

1展开现有三道防线模型管理网络风险明确建立和界定网络风险管理的角色

、责2和岗位职责

2完善网络风险治理三道防线的目标运行模式

3在3业范围内整合网络风险风险评估框架自识别影响关键业流程和资产的网络威胁

4识别和报告重要的度量标准

Line

1st

2ndLine

3rd

Line

风险承担者

风险管理员

风险监督

风险控制

网络安全风险管理框架

10

我们根据网络安全风险管理框架设计出企业执行落地方案

执行管理团队

业务线

风险管理

媒体关系

风险操作团队

欺诈管理刑事调查

网络安全业务连续性

风险监管委员会

风险治理委员会

网络安全风险管理

风险管理办.室

了解组织边界

确定关键业务流程和资产

计划和事件响应

风险操作团队

确定威胁

关键供应商、供应商和外包

业务合作伙伴 客户

收入来源

风险承受能力定义

复原计划

响应策略

风险控制

风险评估

风险监控

风险报告

关键信息资产

关键业务流程

威胁识别

威胁监视

威胁报告

威胁分析

风险识别

风险方案

识别、评估和管理风险

主动网络安全风险管理技术

主动网络安全风险管理

计划模拟和排练

确定关键资产

如果被盗、泄露或不当使用,将给企业造成极大的困难

业务风险标识和网络威胁处理

定义风险容忍度

根据业务类型为其组织定义适当的风险容忍级别

确定保护级别

定义资,所有权在接受和减轻风险方面定义风险管理

采取计划和排练的预防措施,以缩短其持续时间并减少对组织的损害

方案规划

确定最大网络风险并对业务和开发方案进行调整

加强持续的监测和报告工作

网络风险运营团队

搭建专业风险运营团队,能够根据事件类型进行动态调整

实时风险数据分析

收集和分析相关威胁数据来自内部和外部来源

实时风险控制措施

网络风险管理小组决定要实施的适当控制,这是保持一致性的关键。

主动响应

缓解计划

确定哪些过程、工具和技术可用于处理网络攻;,以及在每个场景中的影响

制定响应计划

循序渐进,尽快使业务恢复正常的计划设计

确定所需资源

定义所需的内容自在每个场景中处理网络攻;的影响

实施威胁响应方案预演

初步差距分析

与风险管理进行差距分析,找出潜在的弱寺和潜在的暴露领域

网络安全风险管理量化S法

分配资产/值

计算暴露因子

计算单一损A期望

评/年发生比率

算出年度损A期望

O行E策的成本/R益分析

列出资产清单和分配资产/值

研究每项资产,生成每个资产所有可能威胁的列表。针E列出的每个威胁,计算出暴露因子(EF)和单一损A期望(SLE)

O行威胁分析,计算每种风险在一年内发生的可能性,也F是年发生比率(ARO)

通过计算年度损A期望(ALE),得到每个威胁可能的L损A

研究每个威胁的E策,然后基于应用的E策,计算ARO和ALE的变化

针E每个资产的每个威胁的每个E策O行成本/R益分析,选择每个威胁最适用的E策

分配资产价值

识别出需要进行风险评估的资产清单

对清单上的资产进行价值评估

分配资产价值

计算暴露因子

计算单一/失期望

评价年发生比率

算出年度/失期望

执行对策的成本/效益分析

计算暴露因

文档评论(0)

胜家 + 关注
实名认证
内容提供者

文档好 才是真的好

1亿VIP精品文档

相关文档