信息安全的风险评估管理.ppt

信息安全的风险评估;提纲;信息安全管理核心内容---风险管理;国际和国内信息安全标准和法规;所有者;典型信息安全管理标准;信息安全管理纲要

Codeofpracticeforinformationsecuritymanagement;ISO17799信息安全管理系统;风险;;业务需求;;1、什么是风险评估;;;风险评估考查的对象;风险评估实施流程;实施步骤;(1)风险评估的准备;实施步骤;(2)信息资产识别;信息资产分类;资产等级;实施步骤;(3)威胁识别;威胁分类;威胁等级;;客观上我们面对的网络威胁程度在增加;实施步骤;(4)脆弱性识别;弱点分类;脆弱性等级;;不同层面的问题主要表现;网络设备WEB接口越权管理问题;服务可以发现业务应用系统的深层隐患;C/S平台业务系统经常碰到的安全问题;B/S结构平台下经常出现的安全问题;开发的时候忘记删除备份文件;功能所依附的操作平台安全缺陷;程序开放接口的抗压力能力很差;底层信息大部分在“裸奔”状态;业务??统常见安全问题的总结：;运维管理体系中的评估流程;实施步骤;(5)已有安全措施的确认;实施步骤;(6)风险分析;风险等级;风险处置措施;实施步骤;概述

信息资产列表总结

安全弱点评估总结

安全威胁评估总结

风险量化和评级总结

风险处置措施建议

安全风险评估总结;物理层安全策略

网络层安全策略

系统层安全策略

应用层安全策略

管理层安全策略;;Thankyou