风险评估课程内容分享.pptx

风险评估; 1 认识风险 2 风险管理体系 3 风险评估方法 4 风险评估的实施过程 ;1 认识风险;2 风险管理体系;3 风险评估的方法;4 OCTAVE风险评估的实施过程;课程练习;练习一 识别风险; ;背景： 业务部门中有极机密的交易及客户资料 这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理 业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料 请分组讨论 威胁 脆弱性 风险等级如何？ ;注意事项; 1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素 ;1.1 重要参考资料;1.2 风险评估的目的; 组织实现信息安全的必要的、重要的步骤;1.3 风险的定义;AS/NZS 4360：澳大利亚/新西兰国家标准：;后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。 可能性 Likelihood 用作对几率或频率的定性描述。 几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。 频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。;ISO/IEC TR 13335-1:1996 ;在信息安全领域，什么是风险？;信息安全的定义（ISO17799）：;信息安全风险;风险的四个要素：;资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值;1.4 风险的要素;威胁;威胁举例：;脆弱性;脆弱性举例：;风险要素之间的相互关系：;威胁视图：;脆弱性视图：;影响视图：;练习一 识别风险;2 风险管理体系;是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。 风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。;风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。 可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。 ;2.2 风险管理体系介绍;ISO17799信息安全管理体系;信息安全管理体系建立步??（BS7799-2）;1、建立环境 2、识别风险 3、分析风险 4、评估和评价风险 5、处理风险;AS/NZS4360：风险管理流程;1、建立环境 建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。;2、鉴别风险 鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。;3、风险分析 确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。;4、评价风险 将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。; 5、处理风险 接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。;6、监控和检查 对于风险管理系统的运作情形以及可能影响其运行的那 些变化进行监控和检查。;7、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者[Stakeholder]进行信息交流和咨询。; Learning From Leading Organizations based on the best practices of of organizations noted for superior information security. ;Risk Management Cycle风险管理循环 　　　　　　　;GAO/AIMD 98-68 识别风险和确定安全需求 建立核心管理焦点 实施适合的安全策略和控制措施 安全意识和知识培训 监督并审查安全策略和措施的有效性;1、评估风险和确定需求 识别信息资产 按业务需求制订评估流程 获得管理者和业务经理的支持 基于持续改进的方式进行风险管理;2、建立核心管理焦点 建立核心小组执行关键活动 建立核心小组和高级管理者直接联络的渠道 设立专项资金并配备相关人力资源 培养员工的职业素质和技术能力;3、实施适合的策略和相关措施 将