返回
信息安全风险评估课件.ppt

信息安全风险评估课件.ppt

ID:57223778

大小:1.28 MB

页数:50页

时间:2020-08-04

信息安全风险评估课件.ppt_第1页
信息安全风险评估课件.ppt_第2页
信息安全风险评估课件.ppt_第3页
信息安全风险评估课件.ppt_第4页
信息安全风险评估课件.ppt_第5页
资源描述:

《信息安全风险评估课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估风险评估流程介绍风险评估特点介绍风险评估与等级保护的结合绿盟科技服务产品部孙铁2008年3月员工和客户访问资源可用性客户和业务信息的保护机密性客户和业务信息的可信赖性完整性信息安全的涵义Confidentiality:阻止未经授权的用户读取数据Integrity:阻止未经授权的用户修改或删除数据Availability:保证授权实体在需要时可以正常地使用系统Confidentiality保密性Availability可用性Integrity完整性在某些组织中,完整性和/或可用性比保密性更重要信息安全的概念IntegrityAvai

2、labilityConfidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY=QUALITY四种信息安全工作模式事件导向•没有统一的安全管理部门•没有安全预算•非正规的安全组织和流程•实施了基本的安全工具流程导向•信息安全由IT部门管理

3、•有科学的安全预算•有正式的安全组织和流程•实施了基本的安全工具风险导向•信息安全由CIO直接负责•有与风险平衡的安全预算•基于风险而整合的基础设施•使用主动性安全技术•信息安全由IT部门管理•有科学的安全预算•分布式管理和非正规流程•有较强的安全技术资源技术导向技术要求高流程要求高风险避免,风险降低,风险转移,风险接受安全性风险性安全需求高高低安全风险支出平衡点安全的风险管理风险评估的发展现状信息安全风险评估在美国的发展第一个阶段(60-70年代)以计算机为对象的信息保密阶段1967年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特

4、公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。特点:仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二个阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品,很少延拓至系统,因而在严格意义上仍不是全面的风险评估。第三个阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形

5、成了风险评估、自评估、认证认可的工作思路我国风险评估发展2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题2003年8月至今年在国信办直接指导下,组成了风险评估课题组2004年,国家信息中心《风险评估指南》,《风险管理指南》2005年,全国风险评估试点在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作银行业金融机构信息系统风险管理指引银行业金融机构内部审计指引2006年度信息科技风险内部和外部评价审计的

6、通知提纲风险评估要素关系模型安全措施抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加导出演变未被满足未控制可能诱发残留成本资产资产价值风险评估流程确定评估范围资产的识别和影响分析威胁识别脆弱性评估威胁分析风险分析风险管理风险评估原则符合性原则标准性原则规范性原则可控性原则保密性原则整体性原则重点突出原则最小影响原则评估依据的标准和规范信息安全管理标准ISO17799(GB/T19716)、ISO27001信息安全管理指南ISO13335(GB/T19715)信息安全通用准则ISO15408(GB/T18336)

7、系统安全工程能力成熟模型SSE-CMM国家信息中心《风险评估指南》国家信息中心《风险管理指南》计算机信息系统安全等级保护划分准则(GB/T17859)计算机信息系统等级保护相关规范其他相关标准(AS/NZS4360,GAO/AIMD-00-33,GAO/AIMD-98-68,BSIPD3000,GB/T17859,IATF)相关法规及行业政策资产的识别与影响分析业务应用系统调研业务影响分析资产属性:可用性、完整性、保密性影响分析:经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益估价公式:AssetValue

8、=Round1{Log2[(2Conf+2Int+2Avail)/3]}划分边界区分子系统辅助定级信息资产识别物理资产软件资产硬件资产其

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。