返回
风险概述风险流程常用风险计算方法常用风险工具课件.ppt

风险概述风险流程常用风险计算方法常用风险工具课件.ppt

ID:57141493

大小:208.00 KB

页数:33页

时间:2020-08-01

风险概述风险流程常用风险计算方法常用风险工具课件.ppt_第1页
风险概述风险流程常用风险计算方法常用风险工具课件.ppt_第2页
风险概述风险流程常用风险计算方法常用风险工具课件.ppt_第3页
风险概述风险流程常用风险计算方法常用风险工具课件.ppt_第4页
风险概述风险流程常用风险计算方法常用风险工具课件.ppt_第5页
资源描述:

《风险概述风险流程常用风险计算方法常用风险工具课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理风险评估的主要历程风险概述风险评估流程常用风险计算方法常用风险评估工具第四章信息安全风险评估风险管理概述风险概述风险处理常用风险计算方法常用风险评估工具第四章信息安全风险评估概述信息安全风险评估相关要素信息安全风险评估风险要素相互间的关系信息安全风险评估相关要素资产-对组织具有价值的信息资源,是安全策略保护的对象。威胁-可能对资产或组织造成损害的潜在原因。脆弱点-可能被威胁利用对资产造成损害的薄弱环节。风险-人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。影响-威胁利用资产的脆弱点导致不期望发生事件的后果。安全措施-保护资产

2、、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。安全需求-为保证组织业务战略的正常运作而在安全措施方面提出的要求。信息安全风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险要素关系图安全措施抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变未被满足未控制可能诱发残留成本资

3、产资产价值风险评估的主要历程风险概述风险评估流程常用风险计算方法常用风险评估工具第四章信息安全风险评估风险评估流程风险评估流程图资产识别与评估威胁识别与评估脆弱点识别与评估已有安全措施的确认风险分析安全措施的选取风险评估流程图资产识别与评估资产识别资产识别内容表。资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。资产评估对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其三个安全属性上的达成程度决定。资产重要性等级划分表。威胁识别与评估威胁识别威胁源及表现形式不同的威胁源能造成不同形式危害,应对相关资产,考虑上述威胁源可能构成

4、的威胁。威胁评估威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁等级表脆弱点识别与评估脆弱点识别威胁总是要利用资产的弱点才可能造成危害。脆弱性识别主要从技术和管理两个方面进行。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱点评估根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响。已有安全措施的确认对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,或者用更合适的安全措施替

5、代。安全措施可以分为预防性安全措施和保护性安全措施两种。如入侵检测系统;如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。风险分析风险计算影响分析可能性分析风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va))其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。风险等级划分风险分析示意图威胁识别脆弱性识别威胁出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值资产

6、识别安全事件的可能性安全措施的选取安全措施可以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面。在对于不可接受风险选择适当的安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。风险评估文件记录(一)(1)风险评估计划:阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等;(2)风险评估程序:明确评估的目的、职责、过程、相关的文件要求,并且准备实施评估需要的文档;(3)资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,清单中应明确各资产的责任人/部门;(4)

7、重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等;(5)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等;风险评估文件记录(二)(6)脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括脆弱性名称、描述、类型及严重程度等;(7)已有安全措施确认表:根据已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等;(8)风险评估报告:对整个风险评估过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。