{企业形象}某某某版CISP0302信息安全风险管理v30

《{企业形象}某某某版CISP0302信息安全风险管理v30》由会员分享，可在线阅读，更多相关《{企业形象}某某某版CISP0302信息安全风险管理v30（93页珍藏版）》请在金锄头文库上搜索。

1、信息安全风险管理,培训机构名称 讲师姓名,版本：3.0 发布日期：2014-12-1 生效日期：2015-1-1,课程内容,2,知识体,知识域,知识子域,信息安全 风险管理,信息安全风险 管理主要内容,信息安全风险 管理基础,信息安全风险 评估,知识域：信息安全风险管理基础,知识子域： 风险相关基础概念 理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念 理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风险评估的概念 理解风险相关要素之间的关系,3,风险，指事态的概率及其结果的组合 （ GB/Z 24364-2009信息安全风险

2、管理指南） 信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（ GB/T 20984-2007信息安全风险评估规范） 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性,风险、信息安全风险的概念,4,风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）,风险的构成,5,风险相关术语,资产（Asset） 威胁（ Threat ） 脆弱性（Vunerability） 可能性（Likelihood, Probability） 安全措施/控制措施（Countermeasure, saf

3、eguard, control）,6,业务战略 安全事件 安全需求 风险准则 风险评估 风险处理 风险管理 残余风险（Residental Risk） 信息安全风险评估,资产,资产是任何对组织有价值的东西，是要保护的对象 资产以多种形式存在（多种分类方法） 物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等） 硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等） 有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等） 静态的（如设施和规程等）和动态的（如人员和过程等） 技术的（如计

4、算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等,7,威胁,可能导致对系统或组织危害的不希望事故潜在起因 引起风险的外因 威胁源采取恰当的威胁方式才可能引发风险 威胁举例 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析,8,漏洞利用 拒绝服务 窃取数据 物理破坏 社会工程,脆弱性,可能被威胁所利用的资产或若干资产的薄弱环节 造成风险的内因 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害 脆弱性举例 系统程序代码缺陷 系统设备安全配置错误 系统操作流程有缺陷 维护人员安全意识不足,9,

5、可能性,某件事发生的机会 威胁源利用脆弱性造成不良后果的机会 举例 脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很小 系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机会较小 互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大,10,对风险概念的理解,威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性 网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉,11,威胁源,威胁方式,脆弱性,风险,采取,利用,造成,对信息安全风险的理解,信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相

6、关资产损失或损害的可能性 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性 信息安全风险只考虑那些对组织有负面影响的事件,12,信息安全风险评估,13,是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程 它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,风险处理、风险管理,14,风险处理是选择并且执行措施来更改风险的过程 风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程,安全措施/控制措施,保护资产，抵御威胁，

7、减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法 根据安全需求部署，用来防范威胁，降低风险的措施 举例 部署防火墙、入侵检测、审计系统 测试环节 操作审批环节 应急体系 终端U盘管理制度,15,残余风险,采取了安全措施后，信息系统仍然可能存在的风险 有些残余风险是在综合考虑了安全成本与效益后不去控制的风险 残余风险应受到密切监视，它可能会在将来诱发新的安全事件 举例 风险列表中有10项风险，根据风险成本效益分析，只有前8项需要控制，则前8项处理后剩余的风险加上另2项风险为残余风险，一段时间内系统处于风险可接受水平,16,风险相关要素之间

8、的关系,17,知识域：信息安全风险管理基础,知识子域： 信息安全风险管理概述 理解实施风险管理的主要原则 理解风险管理的范围和对象,18,实施风险管理的主要原则,风险管理创造和保护价值 风险管理是所有组织过程不可分割的一个部分，促进组织的持续改进 风险管理是透明的，参与人员应包含广泛，同时考虑人员和文化因素 风险管理是定制的，并具有体系化、结构化的特点 风险管理是动态的、反复的和响应变化的,19,风险管理的范围和对象,信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全 信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体，如纸张、硬盘、网线等 信息环境指信息及信息载体所处的

9、环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境 信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象 对于一个具体的信息系统，风险管理选择的范围和对象重点应有所不同,20,知识域：信息安全风险管理基础,知识子域： 信息安全风险相关政策与标准 了解我国有关信息安全风险管理的政策要求 了解信息安全风险管理相关的国内外标准,21,我国有关信息安全风险管理的政策要求,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确提出要重视信息安全风险评估工作，将风险评估作为提高我国信息安全保障水平的一项重要举措 关于开展信息安全风险评估工作的意见（国信办20065

10、号），就信息安全风险评估工作的基本内容和原则，以及开展信息安全风险评估工作的有关安排等做出规定和部署 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号），规范了国家电子政务工程建设项目信息安全风险评估工作,22,关于开展信息安全风险评估工作的意见 （国信办20065号）的实施要求,信息安全风险评估工作应当贯穿信息系统全生命周期。规划设计阶段、验收时均应实施风险评估；运行后应定期实施 应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求,23,关于开展信息安全风险评估工作的意见（国信办20

11、065号）的管理要求,为规避由于风险评估工作而引入新的安全风险，必须高度重视信息安全风险评估的组织管理工作。要求： 参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务 风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议 对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行,24,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技【2008】2071号）,电子政务工程建设项目应开展信息安全风险评估工作 项目建设单位应在试运行期间开展风

12、险评估工作，作为项目验收的重要依据 项目验收申请时，应提交信息安全风险评估报告 系统投入运行后，应定期开展信息安全风险评估,25,信息安全风险管理相关的国内外标准,GB/T 20984-2007信息安全风险评估规范 GB/Z 24364-2009信息安全风险管理指南 ISO/IEC 27005:2011信息安全风险管理 ISO GUIDE 73:2009风险管理术语 ISO 31000:2009风险管理主要原则和指南 IEC/ISO 31010:2009风险管理风险评估技术 NIST SP800-30 (2012)实施风险评估指南 NIST SP800-39 (2011) 管理信息安全风险：组

13、织、使命和信息系统梗概 NIST SP800-37 (2010) 联邦信息系统应用风险管理框架指南：安全生命周期方法 NIST SP800-53 (2010) 为联邦信息系统和组织推荐的安全控制措施 NIST SP800-53A (2010) 联邦信息系统和组织安全控制措施评估指南：建立有效的安全评估计划,26,知识域：信息安全风险管理主要内容,知识子域： 信息安全风险管理的基本内容和过程 理解背景建立的主要工作内容 理解风险评估的主要工作内容 理解风险处理的主要工作内容 理解批准监督的主要工作内容 理解监控审查的主要工作内容 理解沟通咨询的主要工作内容,27,信息安全风险管理工作内容,背景建

14、立,风险评估,风险处理,批准监督,GB/Z 24364信息安全风险管理指南：四个阶段，两个贯穿,28,背景建立,背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析 风险管理准备：确定对象、组建团队、制定计划、获得支持 信息系统调查：信息系统的业务目标、技术和管理上的特点 信息系统分析：信息系统的体系结构、关键要素 信息安全分析：分析安全要求、分析安全环境,29,背景建立过程,30,风险评估,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动 风险评估准备：制定风险评估方案、选择评估方法 风险要素识别：发现系统存在

15、的威胁、脆弱性和控制措施 风险分析：判断风险发生的可能性和影响的程度 风险结果判定：综合分析结果判定风险等级,31,风险评估过程,32,风险处理,风险处理是为了将风险始终控制在可接受的范围内。 现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以 处理目标确认：不可接受的风险需要控制到怎样的程度 处理措施选择：选择风险处理方式，确定风险控制措施 处理措施实施：制定具体安全方案，部署控制措施,33,风险处理过程,34,减低风险 转移风险 规避风险 接受风险,常用的四类风险处置方法,35,减低风险,通过对面临风险的资产采取保护措施来降低风险 首先应当考虑的风险处置措施，通常在安全投入小于负面影

16、响价值的情况下采用 保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险,36,减低风险的具体办法,减少威胁源 采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机 减低威胁能力 采取身份认证措施，从而抵制身份假冒这种威胁行为的能力 减少脆弱性 及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性 防护资产 采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持 降低负面影响 采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度,37,转移风险,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险,38,购买保险,服务外包,规避风险,通过不使用面临风险的资产来避免风险。比如： 在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏 对于只处理内部