- 1、本文档共66页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全风险评估与风险管理;目录
一、风险评估中的概念及模型二、风险评估标准
三、风险评估流程与方法四、风险评估的输出结果五、风险管理
六、总结;信息安全的定义;Key words I;Key word II;风险评估的目的和意义;信息系统风险模型;目录
一、风险评估中的概念及模型二、风险评估标准
三、风险评估流程与方法四、风险评估的输出结果五、风险管理
六、总结;- 10 -;- 11 -;我国信息安全风险评估标准发展历程;《信息安全风险评估规范》标准操作的主要内容;标准内容:引言;范围
本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点
,适用于组织开展的风险评估工作。
规范性引用文件
说明标准中引用到其他的标准文件或条款。
术语和定义
对标准中涉及的一些术语进行定义。;风险评估框架及流程;风险分析原理;(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋 值;
(4)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性
;
(5)根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事 件的损失;
(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件 一旦发生对组织的影响,即风险值。;风险评估实施 (1);资产识别
资产分类
资产赋值 :机密性、完整性、可用性三方面的赋值
资产重要性等级
威胁识别
威胁分类
威胁来源分类
威胁赋值
脆弱性识别
识别内容 :技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
脆弱性赋值 :等级赋值,技术脆弱性与管理脆弱性的结合。;已有安全措施确认
安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。
安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。
风险分析
计算安全事件发生的可能性
计算安全事件发生后的损失
计算风险值
风险等级判定;风险评估文件记录
风险评估文件记录的要求
风险评估文件 的类型、多少
风险评估方案
资产识别清单
重要资产清单
威胁列表
脆弱性列表
风险评估报告
风险处理计划;信息系统生命周期各阶段的风险评估;风险评估的工作形式;附录;目录
一、风险评估中的概念及模型二、风险评估标准
三、风险评估流程与方法四、风险评估的输出结果五、风险管理
六、总结;现有风险评估方法综述(1);现有风险评估方法综述(2);现有风险评估方法综述(3);现有风险评估方法综述(4);资1产)的资安产全识属别性与赋值及权重计算;
威胁分析;
薄弱点分析;
已有控制措施分析;
影响分析;
可能性分析;
风险计算;
风险控制措施制定;;1、资产的识别;资产识别的类型;资产价值与信息安全特性的关系;资产价值与信息安全特性的关系;资产价值与信息安全特性的关系;3、威胁分析与评价;威胁的识别与评价;威胁的识别与评价;分析威胁与C,I,A之间的关系;4、薄弱点分析与评价;有关实物和环境安全方面的薄弱点列表;例:常见系统薄弱点及其对应威胁;5、已有安全控制分析与确认;测试;7、威胁的可能性分析;8、风险值的计算;9、风险控制措施确定;实施风险控制;风险控制曲线图;All rights reserved ? 2006;All rights reserved ? 2006;风险控制要点;目录
一、风险评估中的概念及模型二、风险评估标准
三、风险评估流程与方法四、风险评估的输出结果五、风险管理
六、总结;风险评估的输出结果;反映了:
资产名称
描述范围
重要性程度
部门
所属业务流程;反映了:
资产名称
面临的威胁类
具体可能的威胁;反映了:
资产名称
资产面临的威胁
可能被威胁利用的脆弱电
威胁发生的可能性
威胁的影响程度;反映了:4
资产名称
威胁/薄弱点
风险系数
风险处理措施
优先处理等级,等。;风险评估报告
评估方法
信息系统分析与描述
业务信息流分析
资产识别与划分
威胁分析
安全风险分析与统计
信息系统脆弱性评估报告:以资产为主线,描述各资产存在的脆弱性,包括:
主要服务器操作系统、数据库系统
应用系统
网络与交换设备
安全管理体系
物理环境;风险管理的目的和意义;风险控制措施确定;实施风险控制;风险确认与接受;目录
一、风险评估中的概念及模型二、风险评估标准
三、风险评估流程与方法四、风险评估的输出结果五、风险管理
六、总结;重要的资产
面临的威胁
现有的安全措施和薄弱点
可能的风险
制定适合于本单位的风险评估程序
评估流程
评估管理制
您可能关注的文档
- 杜邦分析法2完整版.pptx
- 2015上海市企业培训项目介绍.pptx
- 第7部分程序格式与规范 看-.pptx
- 《期权期货和其他衍生品》英文第9版-Chap01-Intro-精品.pptx
- (教学设计)第1章 第3节 科学验证:动量守恒定律2023-2024学年新教材高中物理选择性必修第一册(鲁科版2019).docx
- 语文版中职数学基础模块上册3.5《函数的实际应用举例》word教案2().docx
- 2024-2025学年小学生积极心理预防教学设计.docx
- 2023-2024学年统编版语文七年级下册第2课《说和做》教学设计.docx
- Unit 2 Lessons in Life Starting out 教学设计-2023-2024学年高二下学期英语外研版(2019)选择性必修四册.docx
- 第3章 第3节 DNA的复制2023-2024学年新教材高中生物必修第二册同步教学设计(人教版2019 多选).docx
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)