《信息安全风险管理ppt培训课件》由会员分享,可在线阅读,更多相关《信息安全风险管理ppt培训课件(111页珍藏版)》请在金锄头文库上搜索。
1、单击此处编辑母 版标题样式单击此处编辑母版副标 题样式*1信息安全风险管理建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.1 风险管理概述v“知己知彼,百战不殆。v知己而不知彼,即便获得胜利也损失惨重。 既不知已又不知彼,每仗必败。”v为了取得信息安全管理的胜利,必须知己知 彼。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.1.1 知己v首先必须识别、检查和熟悉机构中当前的信 息及系统,这是不言而喻的。v要想保护资产就必须
2、熟悉它们是什么,它们 对机构的价值,以及可能有哪些漏洞。v资产在这里是指信息及使用、存储和传输这 些信息的系统。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.1.2 知彼v知彼,这就意味着识别、检查并熟悉机构面 临的威胁。v必须确定出对机构信息资产的安全影响最直 接的威胁。v然后,通过对这些威胁的理解,按照每项资 产对于机构的重要程度,建立一个威胁等级 列表。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.1.3 利益团体
3、的作用v机构中的每一个利益团体都有责任管理机构 面临的风险,可以从以下三方面的分析中看 出:v1.信息安全v因为信息安全团体的成员最了解把风险带入 机构的威胁和攻击,所以他们常常在处理风 险时处于领导地位。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.1.3 利益团体的作用v2.管理人员v管理人员和用户经过适当的培训,会对机构面临 的威胁有着清醒的认识,在早期的检测和响应阶 段起一定的作用。v3. 信息技术v利益团体必须建立安全的系统,并且安全的操作 这些系统。v例如,IT操作应进行合理的备份,以避免硬盘故
4、 障引起的风险。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2 风险管理的基本概念v10.2.1 资产相关概念v1资产v所谓资产就是被组织赋予了价值、需要保护的有 用资源。v在信息安全体系范围内,一项非常重要的工作就 是为资产编制清单。v每项资产都应该清晰地定义,合理地估价,v在组织中明确资产所有权关系,对资产进行安全 分类,并以文件形式详细记录在案。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.1 资产相关概念v
5、2资产的价值v资产价值是指经济实体所拥有的固定资产、无形 资产体现出来的价值。v为了明确对资产的保护,有必要对资产进行估价 ,v其价值大小不仅仅要考虑其自身的价值,v还要考虑其对组织机构业务的重要性、在一定条 件下的潜在价值以及与之相关的安全保护措施。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.1 资产相关概念v因此,在信息系统中资产的价值 可以用v信息或其他技术资产的泄漏、非 法修改或被破坏等造成的影响的 程度来衡量。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商
6、贸城策划招商及后期商业运营方案精益生产培训教材10.2.1 资产相关概念v3威胁v威胁是指可能对资产或组织造成损害的事故的潜 在原因。v例如,网络系统可能受到来自计算机病毒和黑客 攻击的威胁。v4脆弱性v所谓脆弱性就是资产的弱点或薄弱点,这些弱点 可能被威胁利用,造成安全事件的发生,从而对 资产造成损害。v脆弱性本身并不会引起损害,它只是为威胁提供 了影响资产安全性的条件。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v1安全风险v所谓安全风险就是特定的威胁利用资产的一种或 多种脆
7、弱性,导致资产的丢失或损害的潜在可能 性,v即特定威胁事件发生的可能性与后果的结合。v通过确定资产价值及相关威胁与脆弱性的水平, 可以得出风险的度量值。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v即对信息和信息处理设施的威胁、影响( 指安全事件所带来的直接和间接损失)和 脆弱性及三者发生的可能性的评估。v作为风险管理的基础,风险评估是组织确 定信息安全需求的一个重要途径,属于组 织信息安全管理体系策划的过程。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论
8、江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v风险评估的主要任务包括:v识别组织面临的各种风险;v评估风险概率和可能带来的负面影响;v确定组织承受风险的能力;v确定风险降低和控制的优先等级;v推荐风险降低对策。v风险评估也就是确认安全风险及其大小的过 程,即利用适当的风险评估工具,v包括定性和定量的方法,确定资产风险等级 和优先控制顺序。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v2风险管理v所谓风险管理就是以可接受的费用识别、控
9、制、降低或消除可能影响信息系统的安全风 险的过程。v风险管理通过风险评估来识别风险大小,通 过制定信息安全方针,使风险被避免、转移 或降至一个可被接受的水平。v风险管理还应考虑控制费用与风险之间的平 衡。风险管理过程如下图所示。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材风险管 理风险识 别风险评 估风险控 制图 风险管理过程建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v在风险管理过程中,有几个关
10、键的问题需要考虑 。v第一,要确定保护的对象是什么?它的直接和间 接价值如何?v第二,资产面临哪些潜在威胁?导致威胁的问题 所在?威胁发生的可能性有多大?v第三,资产中存在哪些弱点可能会被威胁所利用 ?利用的容易程度又如何?v第四,一旦威胁事件发生,组织会遭受怎样的损 失或者面临怎样的负面影响?v最后,组织应该采取怎样的安全措施才能将风险 带来的损失降到最低?解决以上问题的过程,就 是风险管理的过程。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v这里需要注意,在谈到风险管理的时候
11、,人们经 常提到的还有风险分析这个概念。v实际上,对于信息安全风险管理来说,风险分析 和风险评估基本上是同义的。v当然,如果细究起来,风险分析应该是处理风险 的总体战略,v风险评估只是风险分析中的一项工作,即对可识 别的风险进行评估,以确定其可能造成的危害。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v3安全需求v在信息安全体系中,要求组织确认如下安全需求 :v评估出组织所面临的安全风险,并控制这些风 险的需求;v组织、贸易伙伴、签约客户等需要遵守的法律 法规及合同的要求;v组织
12、制订支持业务运作与处理的需求。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风险管理的相关概念v4安全控制v正如BS7799中所定义的,安全控制就是保护组 织资产、防止威胁、减少脆弱性等一系列安全实 践、过程和机制。v为获得有效的安全,常常需要把多种安全控制结 合起来使用,实现监测、威慑、防护等多种功能 。v5剩余风险v即实施安全控制后,仍然存在的安全风险。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.2 风
13、险管理的相关概念v6适用性声明v适用性声明是一个包含组织所选择的控制目标与 控制方式的文件,v相当于一个控制目标与方式清单,其中应阐述选 择与不选择的理由。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.3 风险管理各要素间的关系v风险管理中涉及的安全组成要素之间的关系v如下图所示,具体描述如下:建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材威胁脆弱性安全控制安全风险资产安全需求资产价值与 潜在影响利用防 止增 加增 加暴
14、露减 少要求指出增加具有建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.2.3 风险管理各要素间的关系v 资产具有价值,并会受到威胁的潜在影响;v脆弱性将资产暴露给威胁,威胁利用脆弱性对 资产造成影响;v威胁与脆弱性的增加导致安全风险的增加;v安全风险的存在对组织的信息安全提出要求;v安全控制应满足安全需求;v通过实施安全控制防范威胁,以降低安全风险 。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.3 风险的识别v风险管理
15、策略要求信息安全专业人员将机构的信 息资产进行识别、分类,并区分优先次序,来了 解资产。v资产是各种威胁以及威胁代理的目标,风险管理 的目标就是保护资产不受威胁。v了解了机构的资产后,就可以进入资产的识别阶 段。必须对每一项资产的状况和环境进行检查, 找出其漏洞。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.3 风险的识别v之后,就要确定采用的控制措施, 并根据这些控制措施对限制攻击所造 成的可能损失,来评估控制。v风险识别的过程从机构信息资产的 识别和评估其价值开始。建筑面积计算规范解决问题方法和途径客户
16、服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.3.1 信息资产的识别v风险识别过程是从资产的识别开始的,它包括机 构系统的所有要素:人员、过程、数据及信息、 软件、硬件和网络,v然后对资产进行分析和归类,在进行深入分析的 过程中添加细节。v1人员、过程及数据资产的识别v人力资源、文件资料及数据信息的识别比确定软 、硬件资产更困难。v这个任务应由具有知识、经验及判断力的人员来 完成。建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材10.3.1 信息资产的识别v在决定属于哪一个信息资产时,需要考虑下 列资产属性:v(1)人员:位置名称/号码;管理人;安全 检查级别;特殊能力。v(2)过程:说明;意图;与软件、硬件及网 络元素的关系;引用的存储位置;更新的存 储位置。v(3)数据:分类;所有者、创建者及管理者 ;使用的数据结构;数据结构的大小;在线 与否;位置;使用的备份过程。建筑面积计算规范解决问题方法和途径客
