风险评估流程及标准PPT格式课件下载.ppt
- 文档编号:15442513
- 上传时间:2022-10-31
- 格式:PPT
- 页数:35
- 大小:719.50KB
风险评估流程及标准PPT格式课件下载.ppt
《风险评估流程及标准PPT格式课件下载.ppt》由会员分享,可在线阅读,更多相关《风险评估流程及标准PPT格式课件下载.ppt(35页珍藏版)》请在冰豆网上搜索。
评估设备范围整理(甲方)双方项目组通讯录(甲方涉及到的各部门或者各业务系统的负责人)实施计划草案会上进行计划的确认会后对于未确认问题最快速度确认过程:
过程:
基础工作:
资产调查分team工作:
顾问评估、专业安全评估小组group工作:
各team中又各分两个小组顾问组groupA-网络架构、安全设备评估groupB-应用安全、策略及威胁评估专业组:
工具小组-终端设备评估人工小组-核心设备评估方法:
方法:
资产评估(评估模型)威胁评估(评估模型)网络架构评估(网络架构、接入方式等)安全设备评估(安全产品策略收集、防病毒部署等)应用安全评估(业务流程、数据流、业务连续性等)策略评估(文档格式、文档体系、文档内容)安全审计(调查问卷)方法:
根据蓝图规定,在综合了专业组和顾问组的评估成果基础上(评估记录单、问卷、访谈记录),完成综合的风险评估报告和现状报告安全体系及建设规划建议报告根据业务、设备等的评估结果安全体系框架设计报告依据ISO17799的安全管理标准IT保障框架安全策略报告安全建设方案建议报告项目阶段和提交文档项目阶段和提交文档12356项目计项目计划划组织结组织结构构项目人项目人员员项目范项目范围围需求调研需求调研项目蓝图项目蓝图安全风险评安全风险评估报告估报告总体策略建总体策略建议议安全漏洞安全漏洞跟踪、紧跟踪、紧急响应、急响应、安全通告安全通告服务、日服务、日常安全信常安全信息库维护息库维护安全策略评安全策略评估报告估报告安全解决方安全解决方案建议案建议客户安全现状客户安全现状总体安全总体安全解决方案解决方案4BS7799BS7799审审计报告计报告安全策略安全策略建议建议安全评估服务体系风险评估内容与过程风险评估服务相关组件公司介绍成功案例介绍安全培训应急响应Osstmm2.1风险评估的跟进支持组件timecost安全加固安全信息通告网络优化方案及系统加固方案网络优化方案及系统加固方案根据规范及系统特点生成风险规避方案根据规范及系统特点生成风险规避方案提交实施申请方案提交实施申请方案与用户确认与用户确认系统加固系统加固同期记录同期记录现场培训现场培训二次评估确认二次评估确认加固报告加固报告启用风险规避方案启用风险规避方案/恢复恢复加固异常加固异常继续加固继续加固修改方案修改方案放弃加固放弃加固实施加固实施加固新加固方案新加固方案一切正常一切正常安全加固流程图安全加固流程图安全加固服务流程安装安全补丁安全配置安全机制文件系统用户管理网络及服务其它配置文件加密通信数字签名日志/备份访问控制安全设备策略定制资料文档现状记录及备份系统加固阶段紧急响应服务准备识别抑制事态发展恢复系统提出解决方案总结经验教训安全通告服务系统地向用户传递最新安全技术和安全信息安全培训服务安全管理培训评估方法培训安全审计培训安全加固培训定制培训CISP培训遵循以下标准:
ISO17799/BS7799ISO13335GB信息安全风险评估指南ISO17799(BS7799)BS7799-1:
1999(即ISO/IEC17799:
2000),信息安全管理实施细则(CodeofPracticeforInformationSecurityManagement),从10个方面定义了127项控制措施,可供信息安全管理体系实施者参考使用,这10个方面是:
安全策略(Securitypolicy);
组织安全(Organizationsecurity);
资产分类和控制(Assetclassificationandcontrol);
人员安全(Personnelsecurity);
物理和环境安全(Physicalandenvironmentalsecurity);
通信和操作管理(Communicationandoperationmanagement);
访问控制(Accesscontrol);
系统开发和维护(Systemdevelopmentandmaintenance);
业务连续性管理(Businesscontinuitymanagement);
符合性(Compliance)。
BS7799-2是建立信息安全管理系统(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证),还有一系列相应的注册认证过程。
作为一套管理标准,BS7799-2指导相关人员怎样去应用ISO/IEC17799,其最终目的,还在于建立适合企业需要的信息安全管理系统(ISMS)。
ISO/IECTR13335ISO/IECTR13335,即IT安全管理指南(GuidelinesfortheManagementofITSecurity,GMITS),是由ISO/IECJTC1制定的技术报告,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议。
ISO/IECTR13335分成5个部分:
国家标准信息安全评估指南风险评估要素关系图方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。
风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
国家标准信息安全评估指南风险分析原理图国家标准信息安全评估指南风险评估实施流程图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 风险 评估 流程 标准