信息安全风险管理.pptx
- 文档编号:1409365
- 上传时间:2022-10-22
- 格式:PPTX
- 页数:12
- 大小:1.66MB
信息安全风险管理.pptx
《信息安全风险管理.pptx》由会员分享,可在线阅读,更多相关《信息安全风险管理.pptx(12页珍藏版)》请在冰豆网上搜索。
国家(上海)信息安全工程技术研究中心上海世博会信息化安全性检测与评估技术联合实验室2010年9月,信息安全风险管理,主要内容,风险与风险管理,风险(Risk)在信息安全领域讲,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。
风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
风险管理(RiskManagement)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。
风险管理的形象描述,系统基本风险,采取措施后残余风险,安全成本与利益的平衡,绝对安全是不现实的寻求达到安全目标与安全成本的平衡,风险管理的实际操作流程,风险评估是风险管理过程中的关键步骤,风险评估的一般方法,定量风险评估:
试图从数字上对安全风险进行分析评估的一种方法。
定性风险评估:
凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。
风险评估量化计算模型,渗透测试模型,国内外信息安全发展现状(标准体系),国内等级保护体系(GB17859)信息安全保障体系(GB/T20274),国际技术体系(RFC、NIST-SP800)管理体系(ISO27001/ISO27002)评估体系(ISO15408),ISO27001-风险管理的过程模型,应用于ISMS过程的PDCA模型,计划:
建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总体方针和总体目标一致的结果。
实施:
实施和运行ISMS方针、控制措施和规程。
检查:
基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,已持续改进ISMS。
处置:
对照ISMS方针、目标和实践经验,评估并在适当时检测过程的执行情况,并将结果报告管理者以供评审。
ThankYou!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 管理