信息安全风险评估技术简介.pptVIP

信息平安风险评估技术简介;提纲;加强信息平安保障工作是当前形势的需要;我国信息平安问题的突出表现;环境和背景;我国面临的信息平安问题的性质;病毒等网络欺诈行为导致全球经济损失惊人;从鸩酒到慢药：“混合性威胁〞的时代已经到来;;提纲;二、信息化风险及风险管理研究;2.1信息化风险的定义;2.2信息平安根本属性;2.3信息化风险的主要特征;信息平安范畴;2.4信息化风险的内在原因;第一，自然灾害；

第二，误操作和平安生产事故；

第三，病毒、蠕虫以及网络攻击；

第四，由于信任体系不完善，借助信息化手段进行欺诈；

第五，因内部因素而造成的信息、数据的修改和丧失和内部泄密；；

第六，因外部因素造成信息、数据的泄露、篡改和丧失；

第七，平安防范措施不到位的高端技术。;2.6我国信息平安风险的生成机理;第二，领导与组织能力不到位，统筹协调不力

领导对于风险管理的重视缺乏，无视信息化工程的风险问题；

信息化目标的错误设定，片面追求某些指标，无视质量；

信息孤岛问题以及跨部门之信息化进程的协调问题；

信息平安总体设计不到位；

工程建设规划、评估和监理存在缺位和缺乏;第三，信息化管理的能力差，管理体系不成熟。

〔1〕对信息化管理的理念认识和关注缺乏；

〔2〕管理根底〔包括信息化建设中决策机制、信息透明和公开、实施过程的监督等〕不完善；

〔3〕缺乏信息化建设周期中质量控制和评估标准；;第四，平安子系统建设资金的预算和管理能力差

〔1〕对信息系统未作风险评估和分析，平安子系统建设投资预算缺乏科学依据

或过度保护

或保护不力；

〔2〕总体资金支持缺乏；

〔3〕信息平安投资的回报难以监控和评估。;第五，人力资源缺乏

〔1〕缺乏信息平安风险管理的人员

〔2〕缺乏具备信息平安管理能力和资格的人员；

〔3〕培训滞后于工程，培训效果差。;第六，法规、标准与政策滞后于信息化开展

相关法制工作滞后于信息化建设需求；

首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的根本法律，如政府信息公开法、政府信息资源管理法。

其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。

再次，缺乏对信息平安风险的管理标准和技术标准。;第七，保护隐私，数据平安，技术管理方面的缺乏。

在泄露隐私方面：

〔1〕不当授权他人或机构滥用用户信息；

〔2〕未遵循法律或法规制定相应的隐私和记录管理政策。

在影响数据平安方面：

〔1〕工作人员对平安因素和措施缺乏足够认知；

〔2〕难以解决相关平安问题；

〔3〕病毒或黑客攻击导致系统瘫痪；

〔4〕由于一个主要系统瘫痪导致其它系统的失灵。;提纲;克服平安“亚健康〞的必由之路;居安思危，思那么有备;风险评估的理念;风险评估是一种方法和依据;信息平安风险评估的概念;对风险评估总体要求的理解;风险管理贯穿于信息系统生命周期的整个过程;美国NIST提出的信息系统平安框架;风险评估的过程;安全措施;信息系统平安评估体系的构成;风险分析的根本要素;资产识别;资产识别;资产分类;威胁识别;脆弱性识别;风险识别;不打无准备之仗—做好准备;风险评估的准备;风险评估依据;风险评估原那么;Recommendations;风险计算模型;风险结果的判定;风险评估结果纪录;信息平安风险评估根本方法;技术评估和整体评估;定性评估和定量评估;一种定量风险评估方法;基于知识的评估和基于模型的评估;系统平安风险动态分析与评估方法;典型的风险评估方法;典型的风险评估方法〔2〕;典型的风险评估方法〔3〕;典型的风险评估方法〔4〕;信息平安风险评估根底环境的准备;提纲;风险评估尚需探索、贵在实践;试点工作目的;选择试点单位;试点工作与标准验证;收获和体会;试点工作技术上特点;试点工作出现了一批成果;试点工作出现了一批成果〔续〕;典型方法之一：计算系统综合风险;典型方法之一：计算系统综合风险〔续〕;典型方法之二：差距分析;构建差距分析法模型;差距分析法的实施路径;典型方法之三：量化风险;典型方法之三：量化风险〔续〕;典型方法之四：面向关键信息资产的

评估方法〔续〕;多级平安效劳势在必行;试点工作发现的问题;建设独立自主、符合国际惯例的风险评估技术支撑体系;平安测试评估工具、平台与环境;下一步建议;下一步建议〔续〕;限于水平，可能还有许多不妥之处，欢送批评指正!