CISP培训-信息安全风险管理.pptx

信息安全风险管理风险评估的实施流程风险相关基本概念信息安全风险相关政策与标准风险评估工作形式风险评估方法信息安全风险管理的基本内容和过程信息安全风险管理概述风险评估工具信息系统生命周期与信息安全风险管理课程内容信息安全风险管理基础信息安全风险管理主要内容信息安全风险管理信息安全风险评估知识子域知识体知识域知识域：信息安全风险管理基础知识子域： 风险相关基础概念理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风险评估的概念理解风险相关要素之间的关系风险、信息安全风险的概念风险，指事态的概率及其结果的组合 （—— GB/Z 24364-2009《信息安全风险管理指南》）信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》）信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性风险的构成风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）风险相关术语资产（Asset）威胁（ Threat ）脆弱性（Vunerability）可能性（Likelihood, Probability）安全措施/控制措施（Countermeasure, safeguard, control）业务战略安全事件安全需求风险准则风险评估风险处理风险管理残余风险（Residental Risk）信息安全风险评估资产资产是任何对组织有价值的东西，是要保护的对象资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）静态的（如设施和规程等）和动态的（如人员和过程等）技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等威胁可能导致对系统或组织危害的不希望事故潜在起因引起风险的外因威胁源采取恰当的威胁方式才可能引发风险威胁举例操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析漏洞利用拒绝服务窃取数据物理破坏社会工程脆弱性可能被威胁所利用的资产或若干资产的薄弱环节造成风险的内因脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足可能性某件事发生的机会威胁源利用脆弱性造成不良后果的机会举例脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很小系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机会较小互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大对风险概念的理解威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性 网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉采取威胁源利用威胁方式造成脆弱性风险对信息安全风险的理解信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或损害的可能性信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性信息安全风险只考虑那些对组织有负面影响的事件信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响风险处理、风险管理风险处理是选择并且执行措施来更改风险的过程风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程安全措施/控制措施保护资产，抵御威胁，减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法根据安全需求部署，用来防范威胁，降低风险的措施举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度残余风险采取了安全措施后，信息系统仍然可能存在的风险有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视，它可能会在将来诱发新的安全事件举例风险列表中有10项风险，根据风险成本效益分析，只有前8项需要控制，则前8项处理后剩余的风险加上另2项风险为残余风险，一段时间内系统处于风险可接受水平风险相关要