資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理.ppt》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1����、信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理國(guó)家信息中心信息安全服務(wù)與研究中心范紅二00四年九月匯報(bào)內(nèi)容一、前言二�����、信息安全風(fēng)險(xiǎn)管理概述三���、信息安全風(fēng)險(xiǎn)管理各組成部分四��、信息安全風(fēng)險(xiǎn)管理的運(yùn)用五�、結(jié)束語(yǔ)2一����、前言3二����、信息安全風(fēng)險(xiǎn)管理概述1�、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3���、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4��、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5��、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任4二�����、信息安全風(fēng)險(xiǎn)管理概述1��、信息安全風(fēng)險(xiǎn)管理的目的和意義2�����、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3���、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4�����、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目
2、標(biāo)的關(guān)系5���、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任5信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作�。1�����、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)���、組織和管理等方面���。2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程����。3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則����,平衡成本與效益��,合理部署和利用信息安全的信任體系�、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施��,確定合適的安全措施����,從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。6二��、信息安全風(fēng)險(xiǎn)管理概述1��、信息安全風(fēng)險(xiǎn)管理的目的和意義2���、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3�����、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4�����、
3�、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任7信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象8二����、信息安全風(fēng)險(xiǎn)管理概述1、信息安全風(fēng)險(xiǎn)管理的目的和意義2�、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4�����、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5����、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任9信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程10二��、信息安全風(fēng)險(xiǎn)管理概述1��、信息安全風(fēng)險(xiǎn)管理的目的和意義2�����、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3�����、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5�、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任11三
4、維結(jié)構(gòu)關(guān)系12二�����、信息安全風(fēng)險(xiǎn)管理概述1����、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3�����、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4�、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任13信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策�。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃�����,以及建設(shè)�、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)���。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃����,以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)
5���、的設(shè)計(jì)和實(shí)施����。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施����。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作�。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù),包括維修和升級(jí)�。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程和結(jié)果的監(jiān)視和控制���。支持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢�、培訓(xùn)����、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)�、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)����。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。14三��、信息安全風(fēng)險(xiǎn)管理各組成部分1����、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3�����、風(fēng)險(xiǎn)控制4��、審核批準(zhǔn)5�����、溝通與咨詢6�、監(jiān)控與審查15三、信息安全風(fēng)險(xiǎn)管理各
6���、組成部分1���、對(duì)象確立2����、風(fēng)險(xiǎn)評(píng)估3�、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5����、溝通與咨詢6、監(jiān)控與審查16對(duì)象確立概述對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一步驟��,根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性��,確定風(fēng)險(xiǎn)管理對(duì)象���。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象,以及對(duì)象的特性和安全要求��。17對(duì)象確立過(guò)程18風(fēng)險(xiǎn)管理準(zhǔn)備19信息系統(tǒng)調(diào)查20信息系統(tǒng)分析21信息安全分析22對(duì)象確立的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備《風(fēng)險(xiǎn)管理計(jì)劃書》風(fēng)險(xiǎn)管理的目的���、意義�、范圍、目標(biāo)�����、組織結(jié)構(gòu)�、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)的業(yè)務(wù)目標(biāo)���、業(yè)務(wù)特性�����、管理特性和技術(shù)特性等�。信息系統(tǒng)分析《信息
7����、系統(tǒng)的分析報(bào)告》信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析《信息系統(tǒng)的安全要求報(bào)告》信息系統(tǒng)的安全環(huán)境和安全要求等����。23三、信息安全風(fēng)險(xiǎn)管理各組成部分1����、對(duì)象確立2�����、風(fēng)險(xiǎn)評(píng)估3�����、風(fēng)險(xiǎn)控制4�、審核批準(zhǔn)5��、溝通與咨詢6�����、監(jiān)控與審查24風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步���,針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別��、分析和評(píng)價(jià)�����。25風(fēng)險(xiǎn)評(píng)估過(guò)程26風(fēng)險(xiǎn)評(píng)估準(zhǔn)備27風(fēng)險(xiǎn)因素識(shí)別28風(fēng)險(xiǎn)程度分析29風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)30風(fēng)險(xiǎn)評(píng)估的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備《風(fēng)險(xiǎn)評(píng)估計(jì)劃書》風(fēng)險(xiǎn)評(píng)估的目的、意義�����、范圍、目標(biāo)�����、組織結(jié)構(gòu)���、經(jīng)費(fèi)
