資源描述:
《信息安全工程03-1信息安全評(píng)估與風(fēng)險(xiǎn)管理》由會(huì)員上傳分享����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�����。
1�����、3-1信息安全風(fēng)險(xiǎn)評(píng)估2021/7/172內(nèi)容3.1信息安全風(fēng)險(xiǎn)管理概述3.2信息安全風(fēng)險(xiǎn)管理各組成部分3.3信息安全風(fēng)險(xiǎn)管理的運(yùn)用2021/7/1733.1信息安全風(fēng)險(xiǎn)管理概述3.1.1信息安全風(fēng)險(xiǎn)管理的目的和意義3.1.2信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3.1.3信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程3.1.4信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系3.1.5信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任2021/7/1743.1.1信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作��。1�、信息安全風(fēng)
2����、險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)��、組織和管理等方面���。2�、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程���。3��、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則����,平衡成本與效益�����,合理部署和利用信息安全的信任體系����、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,確定合適的安全措施�����,從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。2021/7/1753.1.2信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象2021/7/1763.1.3信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程2021/7/177三維結(jié)構(gòu)關(guān)系3.1.4信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 � 期和信息
3�����、安全目標(biāo)的關(guān)系2021/7/1783.1.5信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策���。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策����。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃����,以及建設(shè)��、運(yùn)行��、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)���。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃�,以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)���。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施����。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作��。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù)����,包括維
4、修和升級(jí)����。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程和結(jié)果的監(jiān)視和控制��。支持層專(zhuān)業(yè)者外為信息系統(tǒng)提供專(zhuān)業(yè)咨詢(xún)�����、培訓(xùn)��、診斷和工具等服務(wù)���。專(zhuān)業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專(zhuān)業(yè)咨詢(xún)��、培訓(xùn)�����、診斷和工具等服務(wù)�����。用戶(hù)層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)����。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。2021/7/1793.2信息安全風(fēng)險(xiǎn)管理各組成部分3.2.1對(duì)象確立3.2.2風(fēng)險(xiǎn)評(píng)估3.2.3風(fēng)險(xiǎn)控制3.2.4審核批準(zhǔn)3.2.5溝通與咨詢(xún)3.2.6監(jiān)控與審查2021/7/17103.2.1對(duì)象確立對(duì)象確立
5����、是信息安全風(fēng)險(xiǎn)管理的第一步驟,根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性���,確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象��,以及對(duì)象的特性和安全要求����。2021/7/1711對(duì)象確立過(guò)程2021/7/1712風(fēng)險(xiǎn)管理準(zhǔn)備2021/7/1713信息系統(tǒng)調(diào)查2021/7/1714信息系統(tǒng)分析2021/7/1715信息安全分析2021/7/1716對(duì)象確立的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備《風(fēng)險(xiǎn)管理計(jì)劃書(shū)》風(fēng)險(xiǎn)管理的目的���、意義、范圍�����、目標(biāo)����、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等���。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)的業(yè)
6���、務(wù)目標(biāo)、業(yè)務(wù)特性��、管理特性和技術(shù)特性等�����。信息系統(tǒng)分析《信息系統(tǒng)的分析報(bào)告》信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等����。信息安全分析《信息系統(tǒng)的安全要求報(bào)告》信息系統(tǒng)的安全環(huán)境和安全要求等��。2021/7/1717風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步�����,針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別�、分析和評(píng)價(jià)��。3.2.2風(fēng)險(xiǎn)評(píng)估2021/7/1718風(fēng)險(xiǎn)評(píng)估過(guò)程2021/7/1719風(fēng)險(xiǎn)評(píng)估準(zhǔn)備2021/7/1720風(fēng)險(xiǎn)因素識(shí)別惡意破壞供電失敗硬件故障靜電偷竊可能的威脅列表如何進(jìn)行風(fēng)險(xiǎn)評(píng)估��?脆弱性資產(chǎn)重要性風(fēng)險(xiǎn)基線風(fēng)險(xiǎn)評(píng)估模
7�、型?非正式風(fēng)險(xiǎn)評(píng)估模型����?詳細(xì)風(fēng)險(xiǎn)評(píng)估模型?威脅常見(jiàn)脆弱點(diǎn)列表對(duì)建筑物��、門(mén)��、窗等缺乏物理保護(hù)��;軟件測(cè)試不充分或沒(méi)有�����;通信線路缺乏保護(hù)���;缺乏安全意識(shí)���;服務(wù)維護(hù)責(zé)任不清。風(fēng)險(xiǎn)評(píng)估首先應(yīng)啟始于理解組織的安全需求了解組織經(jīng)營(yíng)戰(zhàn)略了解組織企業(yè)文化了解組織業(yè)務(wù)流程信息安全總體策略定義風(fēng)險(xiǎn)評(píng)估模型將各個(gè)信息安全措施結(jié)合進(jìn)各業(yè)務(wù)流程��,達(dá)到體系整合目的���。確定推行組織方式和方法理解組織近期經(jīng)營(yíng)管理目標(biāo)理解對(duì)組織經(jīng)營(yíng)管理目標(biāo)影響最為重要的業(yè)務(wù)理解影響這些最重要業(yè)務(wù)的信息安全要求--哪些信息安全系統(tǒng)對(duì)這些有致命的影響���,如果沒(méi)有這些信息安全系
8、統(tǒng)這些業(yè)務(wù)將難以實(shí)現(xiàn)���?理解組織高層管理崇高核心價(jià)值觀感受組織內(nèi)部企業(yè)文化氛圍�,了解員工做事的行為準(zhǔn)則與核心價(jià)值觀的一致性理解組織為實(shí)現(xiàn)組織目標(biāo)的業(yè)務(wù)流程描述組織總體業(yè)務(wù)流程框架理解信息安全對(duì)業(yè)務(wù)流程的影響理解現(xiàn)有業(yè)務(wù)流程的控制措施風(fēng)險(xiǎn)評(píng)估方法包括以下幾類(lèi):基線風(fēng)險(xiǎn)評(píng)估模型非正式風(fēng)險(xiǎn)評(píng)估模型詳細(xì)風(fēng)險(xiǎn)評(píng)估模型綜合風(fēng)險(xiǎn)評(píng)估模型基本方法選用標(biāo)準(zhǔn)控制措施對(duì)照組織信息安
