信息安全风险评估与风险管理要点分析.pptx

信息安全风险评估与风险管理;目录 一、风险评估中的概念及模型二、风险评估标准 三、风险评估流程与方法四、风险评估的输出结果五、风险管理 六、总结;信息安全的定义;Key words I;Key word II;风险评估的目的和意义;信息系统风险模型;目录 一、风险评估中的概念及模型二、风险评估标准 三、风险评估流程与方法四、风险评估的输出结果五、风险管理 六、总结;- 10 -;- 11 -;我国信息安全风险评估标准发展历程;《信息安全风险评估规范》标准操作的主要内容;标准内容：引言;范围 本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点 ，适用于组织开展的风险评估工作。 规范性引用文件 说明标准中引用到其他的标准文件或条款。 术语和定义 对标准中涉及的一些术语进行定义。;风险评估框架及流程;风险分析原理;（1）对资产进行识别，并对资产的价值进行赋值； （2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； （3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋 值； （4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性 ； （5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事 件的损失； （6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件 一旦发生对组织的影响，即风险值。;风险评估实施 (1);资产识别 资产分类 资产赋值 :机密性、完整性、可用性三方面的赋值 资产重要性等级 威胁识别 威胁分类 威胁来源分类 威胁赋值 脆弱性识别 识别内容 ：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。 脆弱性赋值 ：等级赋值，技术脆弱性与管理脆弱性的结合。;已有安全措施确认 安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。 安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。 风险分析 计算安全事件发生的可能性 计算安全事件发生后的损失 计算风险值 风险等级判定;风险评估文件记录 风险评估文件记录的要求 风险评估文件 的类型、多少 风险评估方案 资产识别清单 重要资产清单 威胁列表 脆弱性列表 风险评估报告 风险处理计划;信息系统生命周期各阶段的风险评估;风险评估的工作形式;附录;目录 一、风险评估中的概念及模型二、风险评估标准 三、风险评估流程与方法四、风险评估的输出结果五、风险管理 六、总结;现有风险评估方法综述（1）;现有风险评估方法综述（2）;现有风险评估方法综述（3）;现有风险评估方法综述（4）;资1产）的资安产全识属别性与赋值及权重计算； 威胁分析； 薄弱点分析； 已有控制措施分析； 影响分析； 可能性分析； 风险计算； 风险控制措施制定；;1、资产的识别;资产识别的类型;资产价值与信息安全特性的关系;资产价值与信息安全特性的关系;资产价值与信息安全特性的关系;3、威胁分析与评价;威胁的识别与评价;威胁的识别与评价;分析威胁与C,I,A之间的关系;4、薄弱点分析与评价;有关实物和环境安全方面的薄弱点列表;例：常见系统薄弱点及其对应威胁;5、已有安全控制分析与确认;测试;7、威胁的可能性分析;8、风险值的计算;9、风险控制措施确定;实施风险控制;风险控制曲线图;All rights reserved ? 2006;All rights reserved ? 2006;风险控制要点;目录 一、风险评估中的概念及模型二、风险评估标准 三、风险评估流程与方法四、风险评估的输出结果五、风险管理 六、总结;风险评估的输出结果;反映了： 资产名称 描述范围 重要性程度 部门 所属业务流程;反映了： 资产名称 面临的威胁类 具体可能的威胁;反映了： 资产名称 资产面临的威胁 可能被威胁利用的脆弱电 威胁发生的可能性 威胁的影响程度;反映了：4 资产名称 威胁/薄弱点 风险系数 风险处理措施 优先处理等级，等。;风险评估报告 评估方法 信息系统分析与描述 业务信息流分析 资产识别与划分 威胁分析 安全风险分析与统计 信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括： 主要服务器操作系统、数据库系统 应用系统 网络与交换设备 安全管理体系 物理环境;风险管理的目的和意义;风险控制措施确定;实施风险控制;风险确认与接受;目录 一、风险评估中的概念及模型二、风险评估标准 三、风险评估流程与方法四、风险评估的输出结果五、风险管理 六、总结;重要的资产 面临的威胁 现有的安全措施和薄弱点 可能的风险 制定适合于本单位的风险评估程序 评估流程 评估管理制