风险评估与管理.pptVIP

风险评估与管理中国信息安全产品测评认证中心（CNITSEC）议程认识风险风险管理体系风险评估方法OCTAVE风险评估的实施过程风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤风险管理的概念是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。定义与术语（一）定义与术语（二）定义与术语（三）风险管理的概念风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。风险管理体系介绍ISO17799ISO17799信息安全管理体系ISO17799AS/NZS43601、建立环境2、识别风险3、分析风险4、评估和评价风险5、处理风险AS/NZS4360AS/NZS43601、建立环境建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。AS/NZS43602、鉴别风险鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。AS/NZS43603、风险分析确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。AS/NZS43604、评价风险 将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。AS/NZS43605、处理风险接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。AS/NZS43606、监控和检查对于风险管理系统的运作情形以及可能影响其运行的那些变化进行监控和检查。AS/NZS43607、信息交流和咨询在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者[Stakeholder]进行信息交流和咨询。GAO/AIMD98-68LearningFromLeadingOrganizationsbasedonthebestpracticesofoforganizationsnotedforsuperiorinformationsecurity.GAO/AIMD98-68RiskManagementCycle风险管理循环GAO/AIMD98-68GAO/AIMD98-68识别风险和确定安全需求建立核心管理焦点实施适合的安全策略和控制措施安全意识和知识培训监督并审查安全策略和措施的有效性GAO/AIMD98-681、评估风险和确定需求识别信息资产按业务需求制订评估流程获得管理者和业务经理的支持基于持续改进的方式进行风险管理GAO/AIMD98-682、建立核心管理焦点建立核心小组执行关键活动建立核心小组和高级管理者直接联络的渠道设立专项资金并配备相关人力资源培养员工的职业素质和技术能力GAO/AIMD98-683、实施适合的策略和相关措施将策略与业务需求相对应区分策略和指南通过核心组支持策略的实现GAO/AIMD98-684、增强安全意识持续培训用户的安全意识和相关策略采取集中培训和友好界面技术GAO/AIMD98-685、监控和评估策略、措施的有效性监控影响风险的因素和措施的有效性运用实施结果来制订后续措施的制订及管理者的支持关注新的监控工具和技术风险评估方法风险评估方法概述资产识别确定威胁（Threat)识别脆弱性（Vulnerability)实施控制方法基于要素的风险分析基于要素的风险分析资产的价值资产的保护是信息安全和风险管理的首要目标。每个资产都应该被识别与评价以提供适当保护。资产的拥有者与使用者须清楚识别。应盘点资产并建立资产清单基于要素的风险分析识别资产的脆弱性－资产本身的安全问题是什么？－这个资产缺少什么安全措施？分析脆弱程度－这