信息安全评估与风险管理(1).pptx
- 文档编号:30845126
- 上传时间:2024-02-02
- 格式:PPTX
- 页数:101
- 大小:1.77MB
信息安全评估与风险管理(1).pptx
《信息安全评估与风险管理(1).pptx》由会员分享,可在线阅读,更多相关《信息安全评估与风险管理(1).pptx(101页珍藏版)》请在冰豆网上搜索。
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIChttp:
/(企管培训资料下载,文件版权归原作者所有)信息安全风险评估与风险管理国家信息中心信息安全服务与研究中心范红二00四年九月2004-1-121SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语2SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC一、前言3SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任4SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任5SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。
1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。
2、信息安全风险管理贯穿信息系统生命周期的全部过程。
3、信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。
6SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任7SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的范围和对象8信息自身信息载体信息载体信息载体信息载体信息环境信息环境信息环境信息环境信息环境信息环境SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任9SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的内容和过程10对象确立风险评估风险控制审核批准沟通与咨询沟通与咨询沟通与咨询沟通与咨询监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任11SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三维结构关系12对象确立风险控制风险评估审核批准监控与审查沟通与咨询保密性可追究性完整性可用性信息安全风险管理信息安全目标信息系统生命周期XYZ保障级别规划设计实施运维废弃抗否认性SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任13SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理相关人员的角色和责任层面层面信息系统信息系统信息安全风险管理信息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责信息系统的重大决策。
主管者内负责信息安全风险管理的重大决策。
管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。
管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。
执行层建设者内或外负责信息系统的设计和实施。
执行者内或外负责信息安全风险管理的实施。
运行者内负责信息系统的日常运行和操作。
维护者内或外负责信息系统的日常维护,包括维修和升级。
监控者内负责信息系统的监视和控制。
监控者内负责信息安全风险管理过程和结果的监视和控制。
支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。
专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。
用户层使用者内或外利用信息系统完成自身的任务。
受益者内或外反馈信息安全风险管理的效果。
14SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查15SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查16SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立概述对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,确定风险管理对象。
其目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求。
17SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立过程18对象确立信息系统调查对象确立的沟通与咨询风险评估调查信息系统的业务目标调查信息系统的业务特性调查信息系统的技术特性调查信息系统的管理特性信息系统分析分析信息系统的体系结构分析信息系统的关键要素信息安全分析分析信息系统的安全要求分析信息系统的安全环境风险管理准备制定风险管理计划对象确立的监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理准备19制定风险管理计划风险管理计划机构的使命SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系统调查20信息系统的描述报告调查信息系统的业务目标调查信息系统的业务特性调查信息系统的管理特性调查信息系统的技术特性机构的使命机构的组织结构和管理制度机构的业务机构的技术平台SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系统分析21信息系统的分析报告分析信息系统的体系结构分析信息系统的关键要素信息系统的描述报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全分析22信息系统的安全要求报告分析信息系统的安全环境分析信息系统的安全要求相关的政策、法律、法规和标准信息系统的描述报告信息系统的分析报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。
信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。
信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。
23SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查24SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估概述风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。
25SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估过程26风险评估对象确立风险控制风险等级评价风险程度分析风险评估准备风险因素识别制定风险评估计划确定风险评估程序选择风险评估方法和工具识别需要保护的资产识别面临的威胁识别存在的脆弱性分析影响的程度分析威胁源的动机分析威胁行为的能力分析脆弱性的被利用性分析资产的价值确认已有的安全措施评价分析结果给出风险等级风险评估的沟通与咨询风险评估的监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估准备27对象确立风险评估计划风险评估程序入选风险评估方法和工具列表制定风险评估计划确定风险评估程序选择风险评估方法和工具现有风险评估方法和工具库信息系统的安全要求报告信息系统的描述报告信息系统的分析报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险因素识别28需要保护的资产清单面临的威胁列表存在的脆弱性列表识别需要保护的资产识别面临的威胁识别存在的脆弱性漏洞库威胁库信息系统的安全要求报告信息系统的描述报告信息系统的分析报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险程度分析29已有安全措施分析报告威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告确认已有的安全措施分析威胁源的动机分析威胁行为的能力分析脆弱性的被利用性分析资产的价值分析影响的程度存在的脆弱性列表面临的威胁列表需要保护的资产清单信息系统的描述报告信息系统的分析报告信息系统的安全要求报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险等级评价30威胁源等级列表威胁行为等级列表脆弱性等级列表资产价值等级列表影响程度等级列表评价威胁源动机的等级评价威胁行为能力的等级评价脆弱性被利用的等级评价资产价值的等级评价影响程度的等级威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告风险评估报告综合评价风险的等级风险控制风险评估算法库SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
风险评估程序风险评估的工作流程、输入数据和输出结果等。
入选风险评估方法和工具列表合适的风险评估方法和工具列表。
风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。
面临的威胁列表机构的信息资产面临的威胁列表。
存在的脆弱性列表机构的信息资产存在的脆弱性列表。
31SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。
威胁源分析报告从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。
威胁行为分析报告从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。
脆弱性分析报告按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。
资产价值分析报告从敏感性、关键性和昂贵性等方面,分析资产价值的大小。
影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。
32SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。
威胁行为等级列表威胁行为能力的等级列表。
脆弱性等级列表脆弱性被利用的等级列表。
资产价值等级列表资产价值的等级列表。
影响程度等级列表影响程度的等级列表。
风险评估报告汇总上述分析报告和等级列表,综合评价风险的等级。
33SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查34SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制概述风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措施。
风险控制方式主要有规避、转移和降低三种方式。
35SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。
机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则36SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB50174-1993电子计算机机房设计规范、GB9361-1988计算站场地安全要求、GB2887-1982计算机站场地技术要求和GB/T2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。
门控安装门控系统保安建设保安制度和保安队伍。
电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。
病毒防杀全面部署防病毒系统。
漏洞补丁及时下载和安装最新的漏洞补丁模块。
安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。
身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。
访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。
数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。
边界控制在网络边界布置防火墙,阻止来自外界非法访问。
数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。
数字签名在需要防止事后否认时,可采用数字签名技术。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 评估 风险 管理