电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

信息安全风险管理培训教材

34页
  • 卖家[上传人]:桔****
  • 文档编号:591456050
  • 上传时间:2024-09-17
  • 文档格式:PPT
  • 文档大小:674.50KB
  • 信息安全风险管理培训教材_第1页
    信息安全风险管理培训教材_第2页
    信息安全风险管理培训教材_第3页
    / 34 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、第三章第三章 信息安全风险管理信息安全风险管理主讲:焦杨学习目标:学习目标:定义风险管理、风险识别、风险控制;定义风险管理、风险识别、风险控制;理解如何识别和评估风险;理解如何识别和评估风险;评估风险发生的可能性及其对机构的影响;评估风险发生的可能性及其对机构的影响;通过创建风险评估机制,掌握描述风险的基本通过创建风险评估机制,掌握描述风险的基本方法;方法;描述控制风险的风险减轻策略;描述控制风险的风险减轻策略;识别控制的类别;识别控制的类别;承认评估风险控制存在的概念框架,并能清楚承认评估风险控制存在的概念框架,并能清楚地阐述成本收益分析;地阐述成本收益分析;理解如何维护风险控制理解如何维护风险控制3.1 引言引言风险管理:识别和控制机构面临风险的过程风险管理:识别和控制机构面临风险的过程。1.风险识别:检查和说明机构信息技术的风险识别:检查和说明机构信息技术的安全态势和机构面临的风险。安全态势和机构面临的风险。 (风险评估就是说明风险识别的结果)(风险评估就是说明风险识别的结果)2.风险控制:采取控制手段,减少机构数风险控制:采取控制手段,减少机构数据和信息系统的风险。据和信息系统

      2、的风险。 风险管理整个过程:找出机构信息系统风险管理整个过程:找出机构信息系统中的漏洞,采取适当的步骤,确保机构中的漏洞,采取适当的步骤,确保机构信息系统中所有组成部分的机密性、完信息系统中所有组成部分的机密性、完整性和有效性。整性和有效性。 3.2风险管理概述风险管理概述3.2.1 知己知己识别、检查和熟悉机构中当前的信息及系统。3.2.2 知彼知彼识别、检查和熟悉机构面临的威胁。 3.2.3 利益团体的作用利益团体的作用 1.信息安全信息安全 信息安全团队组成:最了解把风险带入机构的威胁和攻击的成员 2.管理人员管理人员 确保给信息安全和信息技术团体分配充足资源(经费和人员),以满足机构的安全需要。 3.信息技术信息技术 建立安全的系统,并且安全地操作这些系统信息安全保护的对象是什么?信息安全保护的对象是什么? 资产 资产是各种威胁以及威胁代理的目标。风险管理的目标就是保护资产不受威胁。3.3风险识别风险识别风险识别:风险识别:规划并组织过程、对系统组件进行分类、列出资产清单并分类、识别出威胁、指出易受攻击的资产。风险评估风险评估:为资产受到的攻击赋值、评估漏洞攻击的可能性、计算资

      3、产的相对风险因素、检查可能的控制措施、记录所发现的事件。风风险险识识别别风风险险评评估估3.3.1 资产识别和评估资产识别和评估1. 人员、过程及数据资产的识别人员、过程及数据资产的识别(1)人员)人员(2)过程)过程(3)数据)数据2. 硬件、软件和网络资产的识别硬件、软件和网络资产的识别3.3.2 信息资产分类信息资产分类传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准过程IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组建因特网或DMZ组件3.3.3 信息资产评估信息资产评估 评估资产的价值。 评估价值标准:1.哪一项信息资产对于成功是最关键的?2.那一项信息资产创造的收效最多?3.哪一项资产的获利最多?4.哪一项信息资产在替换时最昂贵?5.哪一项信息资产的保护费用最高?6.哪一项信息资产是最麻烦的,或者泄漏后麻烦最大?3.3.4 安全调查安全调查数据分类技术个人安全调查机构 给每一个数据用户分配一个单一的授权等级3.3.5 分类数据管理

      4、分类数据管理 1.数据的存储 2.数据的分布移植 3.数据的销毁清洁桌面政策:要求员工在下半时将所有的信息清洁桌面政策:要求员工在下半时将所有的信息 放到适当的存储器中。放到适当的存储器中。3.3.6 威胁识别和威胁评估威胁识别和威胁评估威 胁实 例1.人为过时或失败行为意外事故、员工过失2.侵害知识产权盗版、版权侵害3.间谍或人侵蓄意行为未授权访问和收集数据4.蓄意信息敲诈行为以泄露信息为要挟进行勒索5.蓄意破坏行为破坏系统或信息6.蓄意窃取行为非法使用硬件设备或信息7.蓄意软件攻击病毒、蠕虫、宏、拒绝服务8.自然灾害火灾、水灾、地震、闪电9.服务提供商的服务质量差电源及WAN服务问题10.技术硬件故障或错误设备故障11.技术软件故障或错误漏洞、代码问题、未知问题12.技术淘汰陈旧或过时的技术威胁评估过程:一、针对每种威胁提出同样问题一、针对每种威胁提出同样问题:(1)在给定的环境下,哪一种威胁对机构的资产而言是危险的?(2)哪一种威胁对机构的信息而言是最危险的?(3)从成功的攻击中恢复需要多少费用?(4)防范哪一种威胁的花费最大?二、通过提问的答案,建立威胁评估构架二、通过提问的答

      5、案,建立威胁评估构架3.3.7 漏洞识别漏洞识别漏洞:威胁代理能够用来攻击信息资产的特定途径。在按照威胁评估标准,检查每项威胁,建立漏洞表。3.4 风险评估风险评估3.4.1 风险评估概述风险评估概述风险=出现漏洞的可能性信息资产的价值-当前控制减轻的风险几率+对漏洞了解的不确定性漏洞的可能性是什么?漏洞成功攻击机构内部的概率。(0.11.0)3.4.2 信息安全风险评估原则信息安全风险评估原则1自主 机构内部人员管理的信息安全风险评估2. 适应量度 一个灵活的评估过程可以适应不断变化的技术和进展;既不会受限当前威胁源的严格模型,也不会受限于当前公认的“最佳”实践。3. 已定义过程 描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。4. 连续过程的基础 机构必须实施基于实践安全策略和计划,以逐渐改进自身的安全状态。3.4.3 风险评估的过程风险评估的过程1.信息资产评估 使用信息资产的识别过程中的到的信息,就可以为机构中每项信息资产的价值指定权重分数(1100)。(举例:一些资产会导致整个公司停止运作,说明资产比重较高) 2.风险的确定 利用风险公式:3.识别可能的控制(访问控

      6、制)访问控制:控制用户进入机构信息区域访问控制方法:强制、非任意、任意。4.记录风险评估的结果 过程:信息资产列表(分类)带有漏洞的信息资产列表权重标准分析表漏洞风险等级表成果用途信息资产分类表集合信息资产以及它们对机构的影响或价值权重标准分析表为每项信息资产分配等级值或影响权重漏洞风险等级表为每对无法控制的资产漏洞分配风险等级3.5风险控制策略风险控制策略 3.5.1 避免避免(试图防止漏洞被利用的风险控制策略)(1)通过应用策略来避免(2)教育培训(3)应用技术3.5.2 转移转移 (将风险转移到其他资产、其他过程或其他机构的控制方法) 如何提供服务、修改部署模式、外包给其他机构、购买保险、与提供商签署服务合同。3.5.3 缓解缓解(试图通过规划和预先的准备工作,减少漏洞造成的影响) 缓解策略缓解策略(如下表)计划描述实例何时使用时间范围事件响应计划(IRP)在事件(攻击)进行过程中机构采取的行动灾难发生期间采取的措施情报收集信息分析当事件或者灾难发生时立即并实时作出响应灾难恢复计划(DRP)发生灾难的恢复准备工作:灾难发生之前及过程中减少损失的策略;逐步恢复常态的具体指导丢失数据

      7、的恢复过程丢失服务的重建过程结束过程来保护数据系统和数据在事件刚刚被确定为在难后短期恢复业务持续性计划(BCP)当灾难的等级超出DRP的恢复能力时,确保全部业务继续动作的步骤启动下级数据中心的准备步骤在远程服务位置建立热站点在确定灾难影响了机构的持续运转之后长期恢复3.5.4 接受接受(选择对漏洞不采取任何保护措施,接受漏洞带来的结果)1.确定了风险等级2.评估了攻击的可能性3.估计了供给带来的潜在破坏4.进行了全面的成本效益分析5.评估了使用每种控制的可行性6.认定了某些功能、服务、信息或者资产不值得保护 结论:保护的资产的成本抵不上安全措施的开销。结论:保护的资产的成本抵不上安全措施的开销。3.6 选择风险控制策略选择风险控制策略面对漏洞,如何去选择风险控制策略?面对漏洞,如何去选择风险控制策略?可能的威胁按设计实现的系统系统是否易受攻击系统是否可利用按设计实现的系统存在威胁和漏洞具有风险具有风险存在风险攻击者获取的利益是否大于攻击开销具有风险具有风险预期的损失是否大于机构的可接受的级别无法接受此风险风险处理决策:风险处理决策: 存在漏洞:实现安全控制,来减少漏洞被利用的可能性(1)漏洞可以利用(2)攻击着的开销少于收益(3)可能的损失非常大实现了控制策略,就应对控制效果进行监控和衡量,来确定安全控制的有效性,估计残留风险的准确性。 连续循环过程确保控制风险连续循环过程确保控制风险标示信息资产准备分等级的漏洞风险表开发控制策略和计划标示信息资产标示信息资产准备分等级的漏洞风险表准备分等级的漏洞风险表控制是否得当是否可以接受此风险3.7风险管理的讨论要点风险管理的讨论要点 风险可接受程序的定义:当机构评估绝对安全与无限制访问之间的平衡时愿意接受的风险的级别和种类。 残留风险:未能完全排除、缓解、规划的一些风险。(1)降低了通过安全措施减少威胁效果的一种威胁(2)降低了通过安全措施减少漏洞效果的一种漏洞(3)降低了通过安全措施保护资产价值的效果的一种资产 3.8 验证结果验证结果 提交结果方式:执行控制风险的系统方法、风险评估项目和特定主题的风险评估 。演讲完毕,谢谢观看!

      《信息安全风险管理培训教材》由会员桔****分享,可在线阅读,更多相关《信息安全风险管理培训教材》请在金锄头文库上搜索。

      点击阅读更多内容
      1、金锄头文库是“C2C”交易模式,即卖家上传的文档直接由买家下载,本站只是中间服务平台,本站所有文档下载所得的收益全部归上传人(卖家)所有,作为网络服务商,若您的权利被侵害请及时联系右侧客服;
      2、如你看到网页展示的文档有jinchutou.com水印,是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有jinchutou.com水印标识,下载后原文更清晰;
      3、所有的PPT和DOC文档都被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;下载前须认真查看,确认无误后再购买;
      4、文档大部份都是可以预览的,金锄头文库作为内容存储提供商,无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;
      5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据;
      6、如果您还有什么不清楚的或需要我们协助,可以点击右侧栏的客服。
    最新标签
    公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇 农村发展调研报告_1范文 2022年电脑说明文作文合集六篇 2022年防溺水初中生演讲稿 2021最新36岁儿童学习与发展指南心得体会 2022年新生迎新晚会策划书模板 20 xx年教育系统计划生育工作总结 英语定语讲解ppt课件 2021年4s店客服工作计划范文 2022年小学优秀作文700字四篇
     
    收藏店铺
    相关文档 更多>
    正为您匹配相似的精品文档
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.