返回
信息安全工程03-1信息安全评估与风险管理

信息安全工程03-1信息安全评估与风险管理

ID:43571417

大小:3.36 MB

页数:95页

时间:2019-10-11

信息安全工程03-1信息安全评估与风险管理_第1页
信息安全工程03-1信息安全评估与风险管理_第2页
信息安全工程03-1信息安全评估与风险管理_第3页
信息安全工程03-1信息安全评估与风险管理_第4页
信息安全工程03-1信息安全评估与风险管理_第5页
资源描述:

《信息安全工程03-1信息安全评估与风险管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、3-1信息安全风险评估2021/7/172内容3.1信息安全风险管理概述3.2信息安全风险管理各组成部分3.3信息安全风险管理的运用2021/7/1733.1信息安全风险管理概述3.1.1信息安全风险管理的目的和意义3.1.2信息安全风险管理的范围和对象3.1.3信息安全风险管理的内容和过程3.1.4信息安全风险管理与信息系统生命周期和信息安全目标的关系3.1.5信息安全风险管理的角色和责任2021/7/1743.1.1信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风

2、险管理体现在信息安全保障体系的技术、组织和管理等方面。2、信息安全风险管理贯穿信息系统生命周期的全部过程。3、信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。2021/7/1753.1.2信息安全风险管理的范围和对象2021/7/1763.1.3信息安全风险管理的内容和过程2021/7/177三维结构关系3.1.4信息安全风险管理与信息系统生命周    期和信息

3、安全目标的关系2021/7/1783.1.5信息安全风险管理的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维

4、修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2021/7/1793.2信息安全风险管理各组成部分3.2.1对象确立3.2.2风险评估3.2.3风险控制3.2.4审核批准3.2.5沟通与咨询3.2.6监控与审查2021/7/17103.2.1对象确立对象确立

5、是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求。2021/7/1711对象确立过程2021/7/1712风险管理准备2021/7/1713信息系统调查2021/7/1714信息系统分析2021/7/1715信息安全分析2021/7/1716对象确立的文档阶段输出文档文档内容风险管理准备《风险管理计划书》风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查《信息系统的描述报告》信息系统的业

6、务目标、业务特性、管理特性和技术特性等。信息系统分析《信息系统的分析报告》信息系统的体系结构和关键要素等。信息安全分析《信息系统的安全要求报告》信息系统的安全环境和安全要求等。2021/7/1717风险评估概述风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。3.2.2风险评估2021/7/1718风险评估过程2021/7/1719风险评估准备2021/7/1720风险因素识别恶意破坏供电失败硬件故障静电偷窃可能的威胁列表如何进行风险评估?脆弱性资产重要性风险基线风险评估模

7、型?非正式风险评估模型?详细风险评估模型?威胁常见脆弱点列表对建筑物、门、窗等缺乏物理保护;软件测试不充分或没有;通信线路缺乏保护;缺乏安全意识;服务维护责任不清。风险评估首先应启始于理解组织的安全需求了解组织经营战略了解组织企业文化了解组织业务流程信息安全总体策略定义风险评估模型将各个信息安全措施结合进各业务流程,达到体系整合目的。确定推行组织方式和方法理解组织近期经营管理目标理解对组织经营管理目标影响最为重要的业务理解影响这些最重要业务的信息安全要求--哪些信息安全系统对这些有致命的影响,如果没有这些信息安全系

8、统这些业务将难以实现?理解组织高层管理崇高核心价值观感受组织内部企业文化氛围,了解员工做事的行为准则与核心价值观的一致性理解组织为实现组织目标的业务流程描述组织总体业务流程框架理解信息安全对业务流程的影响理解现有业务流程的控制措施风险评估方法包括以下几类:基线风险评估模型非正式风险评估模型详细风险评估模型综合风险评估模型基本方法选用标准控制措施对照组织信息安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。