版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信息安全風(fēng)險(xiǎn)管理,,,培訓(xùn)機(jī)構(gòu)名稱講師名稱,課程內(nèi)容,,2,知識(shí)域:風(fēng)險(xiǎn)管理工作內(nèi)容,知識(shí)子域:風(fēng)險(xiǎn)管理工作主要內(nèi)容掌握建立背景的主要工作內(nèi)容掌握風(fēng)險(xiǎn)評(píng)估的主要工作內(nèi)容掌握風(fēng)險(xiǎn)處置的主要工作內(nèi)容掌握批準(zhǔn)監(jiān)督的主要工作內(nèi)容掌握監(jiān)控審查的主要工作內(nèi)容掌握溝通咨詢的主要工作內(nèi)容,3,,風(fēng)險(xiǎn)管理是各行業(yè)采取的普遍工作方法,,4,,通用風(fēng)險(xiǎn)管理定義,定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)
2、的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理,是一連串排好優(yōu)先次序的過程,使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理。,5,,信息安全工作為什么需要風(fēng)險(xiǎn)管理方式,6,,信息安全工作為什么需要風(fēng)險(xiǎn)管理方式(續(xù)),信息安全風(fēng)險(xiǎn)和事件不可能完全避免,沒有絕對(duì)的安全。信息安全是高技術(shù)的對(duì)抗,有別于傳統(tǒng)安全,呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn),而不是完全
3、消除風(fēng)險(xiǎn)。,7,,風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式,好的風(fēng)險(xiǎn)管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行,并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級(jí),更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過程。,,8,什么是信息安全風(fēng)險(xiǎn)管理,定義一:GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》信息安全風(fēng)險(xiǎn)管理是識(shí)別、
4、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二:在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn),使風(fēng)險(xiǎn)降低到可接受水平的過程。,了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn),9,正確的風(fēng)險(xiǎn)管理方法,,10,,保護(hù)人身安全遏制損害評(píng)估損害確定損害部位修復(fù)損害部位審查響應(yīng)過程并更新安全策略,反應(yīng)性風(fēng)險(xiǎn)管理,評(píng)估風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)決策風(fēng)險(xiǎn)控制評(píng)定風(fēng)險(xiǎn)管理的有效性,前瞻性風(fēng)險(xiǎn)管理,+,=,前瞻性風(fēng)險(xiǎn)管理反應(yīng)性風(fēng)險(xiǎn)管理,風(fēng)險(xiǎn)管理最佳實(shí)踐,流行性感
5、冒是一種致命的呼吸道疾病,美國(guó)每年都會(huì)有數(shù)以百萬計(jì)的感染者。這些感染者中,至少有 100,000 人必須入院治療,并且約有 36,000 人死亡。 您可能會(huì)選擇通過等待以確定您是否受到感染,如果確實(shí)受到感染,則采用服藥治療這種方式來治療疾病。 此外,您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法。,信息安全風(fēng)險(xiǎn)管理的目標(biāo),信息安全屬性,11,,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ),資產(chǎn)(Asset)威脅源(Threat
6、 Agent)威脅( Threat )脆弱性(Vunerability)控制措施(Countermeasure,safeguard,control)可能性(Likelihood,Probability)影響( Impact,loss )風(fēng)險(xiǎn)(Risk)殘余風(fēng)險(xiǎn)(Residental Risk),12,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-資產(chǎn),資產(chǎn)是任何對(duì)組織有價(jià)值的東西,是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在(多種分類方法)物理的(如計(jì)算
7、設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等)和邏輯的(如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等);硬件的(如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等)和軟件的(如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等);有形的(如機(jī)房、設(shè)備和人員等)和無形的(如品牌、信心和名譽(yù)等);靜態(tài)的(如設(shè)施和規(guī)程等)和動(dòng)態(tài)的(如人員和過程等);技術(shù)的(如計(jì)算機(jī)硬件、軟件和固件等)和管理的(如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過程、計(jì)劃和人員等)等。,13,,信息安
8、全風(fēng)險(xiǎn)術(shù)語(yǔ)-威脅,是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)。威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例:操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析,14,,漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會(huì)工程,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-脆弱性,是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。是造成風(fēng)險(xiǎn)的內(nèi)因。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害,但是在一定條件得到滿足時(shí),脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害。脆弱性舉
9、例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯(cuò)誤系統(tǒng)操作流程有缺陷維護(hù)人員安全意識(shí)不足,15,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-控制措施,是根據(jù)安全需求部署,用來防范威脅,降低風(fēng)險(xiǎn)的措施。舉例部署防火墻、入侵檢測(cè)、審計(jì)系統(tǒng)測(cè)試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤管理制度,16,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-可能性,是指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專業(yè)工具才能利用,發(fā)生不良后果的可能性很小系統(tǒng)存在漏洞,但只在
10、與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行,發(fā)生的可能性較小?;ヂ?lián)網(wǎng)公開漏洞且有相應(yīng)的測(cè)試工具,發(fā)生不良后果的可能性很大。,17,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-影響,是指威脅源利用脆弱性造成不良后果的程度大小舉例網(wǎng)站被黑客控制,國(guó)家級(jí)網(wǎng)站比省市網(wǎng)站的名譽(yù)損失大很多。銀行門戶網(wǎng)站和內(nèi)部核心系統(tǒng)受到攻擊,其核心系統(tǒng)的損失更大。同樣型號(hào)路由器被攻破,用于互聯(lián)網(wǎng)骨干路由要比企業(yè)內(nèi)部系統(tǒng)的路由器損失更大。,18,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn),是指威脅源采用恰當(dāng)?shù)耐?/p>
11、脅方式利用脆弱性造成不良后果。 網(wǎng)站存在SQL注入漏洞,普通攻擊者利用自動(dòng)化攻擊工具很容易控制網(wǎng)站,修改網(wǎng)站內(nèi)容,從而損害國(guó)家政府部門聲譽(yù),19,,威脅源,威脅方式,脆弱性,風(fēng)險(xiǎn),采取,利用,造成,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)之間的關(guān)系,20,,威脅源,威脅方式,脆弱性,風(fēng)險(xiǎn),采取,利用,造成,資產(chǎn),不良影響,控制措施,破壞,造成,受控制,直接影響,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn),GB/T 20984的定義:信息安全風(fēng)險(xiǎn)人為或自然的威脅
12、利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。,21,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-殘余風(fēng)險(xiǎn),是指采取了安全措施后,信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)應(yīng)受
13、到密切監(jiān)視,它可能會(huì)在將來誘發(fā)新的安全事件舉例風(fēng)險(xiǎn)列表中有10類風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)成本效益分析,只有前8項(xiàng)需要控制,則另2項(xiàng)為殘余風(fēng)險(xiǎn),一段時(shí)間內(nèi)系統(tǒng)處于風(fēng)險(xiǎn)可接受水平。,22,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)評(píng)估,信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接
14、受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。,23,,風(fēng)險(xiǎn)評(píng)估的理解,信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的,只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作,通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全,24,,信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)評(píng)估vs風(fēng)險(xiǎn)管理,25,,信息安全風(fēng)
15、險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》 四個(gè)階段,兩個(gè)貫穿。 --,26,建立背景,背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟,確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備:確定對(duì)象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持信息系統(tǒng)調(diào)查:信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)信息系統(tǒng)分析:信息系統(tǒng)的體系
16、結(jié)構(gòu)、關(guān)鍵要素信息安全分析:分析安全要求、分析安全環(huán)境,27,背景建立過程,,28,風(fēng)險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,29,風(fēng)險(xiǎn)評(píng)估,信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng)。風(fēng)險(xiǎn)分析準(zhǔn)備:制定風(fēng)險(xiǎn)評(píng)估方案、選擇評(píng)估方法風(fēng)險(xiǎn)要素識(shí)別:發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施風(fēng)險(xiǎn)分析:判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度風(fēng)險(xiǎn)結(jié)果判定:綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí),3
17、0,風(fēng)險(xiǎn)評(píng)估過程,,31,風(fēng)險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,32,風(fēng)險(xiǎn)處理,風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。現(xiàn)存風(fēng)險(xiǎn)判斷:判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受,哪些不可以處理目標(biāo)確認(rèn):不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度處理措施選擇:選擇風(fēng)險(xiǎn)處理方式,確定風(fēng)險(xiǎn)控制措施處理措施實(shí)施:制定具體安全方案,部署控制措施,33,,風(fēng)險(xiǎn)處理過程,,34,減低風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)接受風(fēng)
18、險(xiǎn),常用的四類風(fēng)險(xiǎn)處置方法,35,減低風(fēng)險(xiǎn),通過對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn) 首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施,通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面(即威脅源、威脅行為、脆弱性、資產(chǎn)和影響)來降低風(fēng)險(xiǎn)。,36,減低風(fēng)險(xiǎn)的具體辦法,減少威脅源:采用法律的手段制裁計(jì)算機(jī)犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動(dòng)機(jī);減低威脅能力:采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的
19、能力;減少脆弱性:及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性;,37,減低風(fēng)險(xiǎn)的具體辦法,防護(hù)資產(chǎn):采用各種防護(hù)措施,建立資產(chǎn)的安全域,從而保證資產(chǎn)不受侵犯,其價(jià)值得到保持;降低負(fù)面影響:采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施,從而減少安全事件造成的影響程度。,38,轉(zhuǎn)移風(fēng)險(xiǎn),通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第
20、三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。,39,轉(zhuǎn)移風(fēng)險(xiǎn)的具體做法,在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí),將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿足安全保障要求的第三方機(jī)構(gòu),從而避免技術(shù)風(fēng)險(xiǎn)。通過給昂貴的設(shè)備上保險(xiǎn),將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司,從而降低資產(chǎn)價(jià)值的損失。,40,規(guī)避風(fēng)險(xiǎn),通過不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來避免風(fēng)險(xiǎn)。比如:在沒有足夠安全保障的信息系統(tǒng)中,不處理
21、特別敏感的信息,從而防止敏感信息的泄漏。對(duì)于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng),不使用互聯(lián)網(wǎng),從而避免外部的有害入侵和不良攻擊。 通常在風(fēng)險(xiǎn)的損失無法接受,又難以通過控制措施減低風(fēng)險(xiǎn)的情況下,41,接受風(fēng)險(xiǎn),接受風(fēng)險(xiǎn)是選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施,接受風(fēng)險(xiǎn)可能帶來的結(jié)果。 用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后,出于實(shí)際和經(jīng)濟(jì)方面的原因,只要組織進(jìn)行運(yùn)營(yíng),就必然存在并必須接受的風(fēng)險(xiǎn)。 接受風(fēng)險(xiǎn)不意味著不聞不問,需要對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)變化
22、進(jìn)行持續(xù)的監(jiān)控,一旦發(fā)展為無法接受的風(fēng)險(xiǎn)就要進(jìn)一步采取措施。,42,風(fēng)險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,43,批準(zhǔn)監(jiān)督,批準(zhǔn):是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求,做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定監(jiān)督:是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化,監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn),44,,批準(zhǔn)監(jiān)督過程,,45,風(fēng)險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,
23、風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,46,監(jiān)控審查的意義,監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題,并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正,從而減少因此造成的損失,保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。,47,監(jiān)控審查過程,,48,風(fēng)險(xiǎn)管理工作內(nèi)容,建立背景,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)處理,批準(zhǔn)監(jiān)督,,,,,,,,,,,,49,溝通咨詢,通過暢通的交流和充分的溝通,保持行動(dòng)的協(xié)調(diào)和一致;通過有效的培訓(xùn)和方便的咨詢,保證行動(dòng)者具有
24、足夠的知識(shí)和技能,就是溝通咨詢的意義所在,50,溝通咨詢過程,,51,知識(shí)域:風(fēng)險(xiǎn)管理工作內(nèi)容,知識(shí)子域:系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作,52,,何時(shí)作風(fēng)險(xiǎn)管理,信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作 是需要貫穿信息系統(tǒng)生命周期,持續(xù)進(jìn)行的工作,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)
25、維,廢棄,53,明確信息系統(tǒng)安全建設(shè)的目的,對(duì)信息系統(tǒng)安全建設(shè)實(shí)現(xiàn)的可能性進(jìn)行分析論證并設(shè)計(jì)出總體安全規(guī)劃方案。為了保證安全目標(biāo)的實(shí)現(xiàn),需要對(duì)信息系統(tǒng)規(guī)劃階段中可能引入安全風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)管理,從而降低在項(xiàng)目后期處理相同安全風(fēng)險(xiǎn)所帶來的高額成本。,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)維,廢棄,系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理目標(biāo),54,系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理,55,依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來設(shè)計(jì)信息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu)(包括功能劃分、
26、接口協(xié)議和性能指標(biāo)等)和實(shí)施方案(包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等)。在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時(shí),在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險(xiǎn),因此對(duì)關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對(duì)性地進(jìn)行安全風(fēng)險(xiǎn)管理。,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)維,廢棄,風(fēng)險(xiǎn)管理的目標(biāo),56,信息系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理,57,按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)安全實(shí)施方案采購(gòu)設(shè)備和軟件,開發(fā)定制功能集成、部署、配置和測(cè)試信息系統(tǒng)的
27、安全機(jī)制培訓(xùn)人員對(duì)是否允許系統(tǒng)投入運(yùn)行進(jìn)行批準(zhǔn)監(jiān)督 。,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)維,廢棄,風(fēng)險(xiǎn)管理的目標(biāo),58,信息系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理,59,在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后,確保在運(yùn)行過程中,以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí)維持系統(tǒng)的正常運(yùn)行和安全性。,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)維,廢棄,風(fēng)險(xiǎn)管理的目標(biāo),60,信息系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理,61,確保對(duì)信息系統(tǒng)的過時(shí)或無用部分進(jìn)行安全報(bào)廢處理,防止信息系統(tǒng)的安全要求和安全功能遭到破壞。
28、,規(guī)劃,設(shè)計(jì),實(shí)施,運(yùn)維,廢棄,風(fēng)險(xiǎn)管理的目標(biāo),62,信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理,63,知識(shí)域:信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐,知識(shí)子域:風(fēng)險(xiǎn)評(píng)估流程和方法掌握國(guó)家對(duì)開展風(fēng)險(xiǎn)評(píng)估工作的政策要求理解風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系掌握風(fēng)險(xiǎn)評(píng)估的實(shí)施流程:風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅評(píng)估、脆弱性評(píng)估、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估文檔記錄理解定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析的區(qū)別及優(yōu)缺點(diǎn)理解自評(píng)估和檢查評(píng)估的區(qū)別及優(yōu)缺點(diǎn)掌握典型
29、風(fēng)險(xiǎn)計(jì)算方法:年度損失值(ALE)、矩陣法、相乘法掌握風(fēng)險(xiǎn)評(píng)估工具:風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具,64,,國(guó)家對(duì)開展風(fēng)險(xiǎn)評(píng)估工作的政策要求,1、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))中明確提出:“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素,進(jìn)行
30、相應(yīng)等級(jí)的安全建設(shè)和管理”,65,,國(guó)家對(duì)開展風(fēng)險(xiǎn)評(píng)估工作的政策要求,2、《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見〉》(國(guó)信辦【2006】5號(hào)文)中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求:風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容和原則風(fēng)險(xiǎn)評(píng)估工作的基本要求開展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排,66,,《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的實(shí)施要求,1、信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段,通過信息安全風(fēng)險(xiǎn)評(píng)估
31、工作,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo),有針對(duì)性地制定和部署安全措施,從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。2、在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí),通過風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能,是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。,《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的實(shí)施要求,3、由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化,會(huì)不斷出現(xiàn)新的信息安全風(fēng)險(xiǎn),因此,在信息系統(tǒng)的運(yùn)行階段,應(yīng)當(dāng)定期進(jìn)行信息安全
32、風(fēng)險(xiǎn)評(píng)估,以檢驗(yàn)安全措施的有效性以及對(duì)安全環(huán)境的適應(yīng)性。當(dāng)安全形勢(shì)發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí),應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。4、信息安全風(fēng)險(xiǎn)評(píng)估也是落實(shí)等級(jí)保護(hù)制度的重要手段,應(yīng)通過信息安全風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù),根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。,《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的管理要求,1、信息安全風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng),涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息,一旦處理不當(dāng)
33、,反而可能引入新的風(fēng)險(xiǎn),《意見》強(qiáng)調(diào),必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作 2、為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn),《意見》提出以下要求:1)參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2)風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施,并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3)對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作
34、必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。,《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的管理要求,3、加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn),各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。4、要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估核心技術(shù)、方法和工具的研究與攻關(guān)。 5、要從抓試點(diǎn)開始,逐步探索組織實(shí)施和管理的經(jīng)驗(yàn),用三年左右的時(shí)間在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)
35、評(píng)估工作,全面提高我國(guó)信息安全的科學(xué)管理水平,提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力,為保障和促進(jìn)我國(guó)信息化發(fā)展服務(wù)。,CNITSEC,71,2071號(hào)文件對(duì)電子政務(wù)提出要求,3、為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(發(fā)改委[2007]55號(hào)令)對(duì)風(fēng)險(xiǎn)評(píng)估的要求, 發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求:(相當(dāng)于“信息安全審計(jì)”)電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安
36、全風(fēng)險(xiǎn)評(píng)估工作評(píng)估的主要內(nèi)容應(yīng)包含:資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作,作為項(xiàng)目驗(yàn)收的重要依據(jù)項(xiàng)目驗(yàn)收申請(qǐng)時(shí),應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)投入運(yùn)行后,應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估,CNITSEC,72,風(fēng)險(xiǎn)評(píng)估工作承擔(dān)單位,,CNITSEC,73,需要強(qiáng)調(diào):一次測(cè)評(píng)兩個(gè)報(bào)告,發(fā)改委要求:一次測(cè)評(píng)工作,提交兩個(gè)測(cè)評(píng)報(bào)告,即風(fēng)險(xiǎn)評(píng)估報(bào)告和等保測(cè)評(píng)報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告的格式由中
37、國(guó)信息安全測(cè)評(píng)中心和國(guó)家信息技術(shù)安全研究中心牽頭制定,基本格式參照原國(guó)信辦檢查評(píng)估的報(bào)告等保測(cè)評(píng)報(bào)告的格式由等級(jí)保護(hù)的主管部門負(fù)責(zé)制定,風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系,等保測(cè)評(píng)、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測(cè)評(píng),其中等保測(cè)評(píng)是符合國(guó)家安全要求的測(cè)評(píng),安全檢查是符合行業(yè)主管安全要求的符合性測(cè)評(píng)。而風(fēng)險(xiǎn)評(píng)估是在國(guó)家、行業(yè)安全要求的基礎(chǔ)上,以被評(píng)估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)
38、。,74,,風(fēng)險(xiǎn)評(píng)估實(shí)施流程,,75,,,,,風(fēng)險(xiǎn)評(píng)估是“健康體檢+專項(xiàng)檢查”,76,,資產(chǎn),威脅,脆弱性,現(xiàn)有控制措施,人,病毒,身體情況,預(yù)防措施,風(fēng)險(xiǎn)評(píng)估,健康體檢,風(fēng)險(xiǎn)優(yōu)先級(jí)和風(fēng)險(xiǎn)控制建議,病情診斷和藥方,準(zhǔn)備 識(shí)別 計(jì)算 報(bào)告,一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程:準(zhǔn)備(Readiness)、識(shí)別(Realization)、 計(jì)算(Calculation)、報(bào)告(Report),77,風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作,準(zhǔn)備工作中要注意的問題,相親:前期
39、交流(成功案例簡(jiǎn)介、測(cè)評(píng)機(jī)構(gòu)資質(zhì)簡(jiǎn)介、被 測(cè)系統(tǒng) 大致規(guī)模、 測(cè)評(píng)服務(wù)費(fèi)用測(cè)算…),訂婚:服務(wù)水平協(xié)議SLA(獲取詳細(xì)資料的前提,對(duì)方的 授權(quán)、 雙方的義務(wù),可和保密協(xié)議整合…),甲方禮單:資料審核(明確系統(tǒng)范圍、為現(xiàn)場(chǎng)測(cè)評(píng)制訂問卷清單…),乙方禮單:工作計(jì)劃(案例分析 綜合組、管理組、網(wǎng)絡(luò)組…),迎親:進(jìn)場(chǎng)準(zhǔn)備(進(jìn)場(chǎng)通知,如對(duì)方或第三方人員;設(shè)備 準(zhǔn)備, 如工具等,標(biāo)識(shí)佩戴…),78,現(xiàn)場(chǎng)測(cè)評(píng),79,,現(xiàn)場(chǎng)測(cè)評(píng)工作要注意的問題,
40、首次會(huì)議(必須),聽取對(duì)方高管的情況簡(jiǎn)介,向被測(cè)單位有關(guān)人員說明此次任務(wù)、測(cè)評(píng)計(jì)劃介紹、雙方測(cè)評(píng)人 員的相互認(rèn)識(shí)…,問詢技巧(直接提問,如業(yè)務(wù)重要性;間接提問,如安全 事件;反向提問,適合于所有方面),資料核對(duì)(拓?fù)浜藢?duì),管理體系文檔,設(shè)計(jì)文檔,設(shè)備臺(tái) 賬…),現(xiàn)場(chǎng)檢測(cè)(測(cè)試過程記錄、抓屏、數(shù)據(jù)提取…),末次會(huì)議(必須),向?qū)Ψ礁吖芎?jiǎn)要總結(jié)現(xiàn)場(chǎng)測(cè)評(píng)的初步結(jié)論,但切忌做最終結(jié)論,80,,資產(chǎn)識(shí)別,資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用?
41、,兩點(diǎn):是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn),資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么?,一線:業(yè)務(wù)戰(zhàn)略→ 信息化戰(zhàn)略→ 系統(tǒng)特征(管理/技術(shù)),資產(chǎn)識(shí)別的方法有哪些?,資產(chǎn)分類:樹狀法。自然形態(tài)分類(勾畫資產(chǎn)樹:管理、技術(shù)…逐步往下細(xì)化);信息形態(tài)分類(信息環(huán)境、 信息載體、信息),81,,按信息形態(tài)分類,資產(chǎn)識(shí)別,,82,,83,,威脅識(shí)別,威脅識(shí)別與資產(chǎn)識(shí)別是何關(guān)系?,點(diǎn)和面:重點(diǎn)識(shí)別和全面識(shí)別,威脅識(shí)別的重點(diǎn)和難點(diǎn)是什么?,三問:“敵人”在哪兒?
42、效果如何?如何取證?,威脅識(shí)別的方法有哪些?,日志分析歷史安全事件專家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息檢索,威脅分類,分為:人為故意威脅威脅意圖評(píng)估、威脅能力評(píng)估、操作限制評(píng)估、威脅源特點(diǎn)評(píng)估人為非故意威脅判定威脅源、評(píng)估威脅源特點(diǎn)、評(píng)估威脅源環(huán)境、評(píng)估事故發(fā)生時(shí)間自然威脅地震、海嘯、洪水。,84,85,,脆弱性識(shí)別,脆弱性識(shí)別的難點(diǎn)是什么?,三性:隱蔽性、欺騙性、復(fù)雜性,脆弱性識(shí)別的方法有哪些?,脆弱性分類:管理脆弱性。 結(jié)構(gòu)脆弱性(
43、如安全域劃分不當(dāng)),操作脆弱性(如安全審計(jì)員業(yè)務(wù)生疏);技術(shù)脆弱性。,脆弱性識(shí)別與威脅識(shí)別是何關(guān)系?,驗(yàn)證:以資產(chǎn)為對(duì)象,對(duì)威脅識(shí)別進(jìn)行驗(yàn)證,脆弱性識(shí)別內(nèi)容,,86,,常見脆弱性識(shí)別工作方式,,87,,現(xiàn)有安全控制措施識(shí)別,考慮:防護(hù)性措施威懾性措施預(yù)警性措施檢測(cè)性措施應(yīng)急處理性措施,88,,(二)風(fēng)險(xiǎn)分析,GB/T 20984-2007 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》給出信息安全風(fēng)險(xiǎn)分析思路,89,,,,風(fēng)險(xiǎn)值=R(A,T,V)=
44、 R(L(T,V),F(xiàn)(Ia,Va ))。其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性; Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。,,定量分析與定性分析,90,,定量分析方法,步驟1-評(píng)估資產(chǎn):根據(jù)資產(chǎn)價(jià)值(AV)清單,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對(duì)財(cái)務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE 是指發(fā)生一
45、次風(fēng)險(xiǎn)引起的收入損失總額。 SLE 是分配給單個(gè)事件的金額,代表一個(gè)具體威脅利用漏洞時(shí)將面臨的潛在損失。 (SLE 類似于定性風(fēng)險(xiǎn)分析的影響。)將資產(chǎn)價(jià)值與暴露系數(shù)相乘 (EF) 計(jì)算出 SLE。暴露系數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比。 步驟3-確定年發(fā)生率AROARO 是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù).,91,,定量分析方法(續(xù)),步驟4-確定年預(yù)期損失ALEALE 是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。 SL
46、E 乘以 ARO 即可計(jì)算出該值。 ALE 類似于定量風(fēng)險(xiǎn)分析的相對(duì)級(jí)別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用.步驟6-安全投資收益ROSI(實(shí)施控制前的 ALE)–(實(shí)施控制后的 ALE)–(年控制成本)= ROSI,92,,后果或影響的定性量度(示例),定性分析方法,93,可能性的定性量度(示例),定性分析方法,94,風(fēng)險(xiǎn)分析矩陣—風(fēng)險(xiǎn)程度,E:極度風(fēng)險(xiǎn) H:高風(fēng)險(xiǎn) M:中等
47、風(fēng)險(xiǎn) L: 低風(fēng)險(xiǎn),,,,,定性分析方法,95,定性分析方法-矩陣法,根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果。依此類推,得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值,并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表,確定風(fēng)險(xiǎn)等級(jí)。,96,定性分析方法-相乘法,(1)計(jì)算安全事件發(fā)生可能性威脅發(fā)生頻率:威脅T1=1;脆弱性嚴(yán)重程度:脆弱性V1=3。安全事件發(fā)生可能性=(2)計(jì)算安全事件的損失資產(chǎn)價(jià)值:資產(chǎn)A1=4;脆弱性嚴(yán)重程度:脆弱性V1=3。
48、計(jì)算安全事件的損失,安全事件損失=(3)計(jì)算風(fēng)險(xiǎn)值安全事件發(fā)生可能性=2;安全事件損失=3。安全事件風(fēng)險(xiǎn)值=(4)確定風(fēng)險(xiǎn)等級(jí),,,,97,定性分析與定量分析,,98,,(三)風(fēng)險(xiǎn)評(píng)估工作形式,信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估為主,自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行,也可委托第三方機(jī)構(gòu)提供技術(shù)支持。,99,風(fēng)險(xiǎn)評(píng)估的工作形式—自評(píng)估,由發(fā)起方實(shí)施或委托
49、風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。優(yōu)點(diǎn):有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長(zhǎng)有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知識(shí)缺點(diǎn)可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能,其結(jié)果不夠深入準(zhǔn)確;同時(shí),受到組織內(nèi)部各種因素的影響,其評(píng)估結(jié)果的客觀性易受影響。建議方法委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估,過程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好,可信程度較高;但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制,對(duì)被評(píng)估系統(tǒng)的了
50、解,尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素,因此,對(duì)其背景與資質(zhì)、評(píng)估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。,100,風(fēng)險(xiǎn)評(píng)估的工作形式—檢查評(píng)估,檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估。 優(yōu)點(diǎn):最具權(quán)威性。通過行政手段加強(qiáng)信息安全的重要措施。缺點(diǎn):間隔時(shí)間較長(zhǎng),一般是抽樣進(jìn)行,難于貫穿信息系統(tǒng)的生命周期。,101,(四)風(fēng)險(xiǎn)評(píng)估工
51、具,風(fēng)險(xiǎn)評(píng)估與管理工具一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng),以規(guī)范風(fēng)險(xiǎn)評(píng)估的過程和操作方法;或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料,基于專家經(jīng)驗(yàn),對(duì)輸入輸出進(jìn)行模型分析。系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進(jìn)行分析,或?qū)嵤┗诖嗳跣缘墓簟oL(fēng)險(xiǎn)評(píng)估輔助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能,為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。,102,,知識(shí)域
52、:信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐,知識(shí)子域:風(fēng)險(xiǎn)分析實(shí)例了解典型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)踐過程,103,,評(píng)估依據(jù),,,國(guó)家標(biāo)準(zhǔn)規(guī)范,,,XX行業(yè)安全要求,GB/T 20274-2006 信息系統(tǒng)安全保障評(píng)估框架GB/T 20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 18336-2001 信息技術(shù)安全性評(píng)估準(zhǔn)則,xx系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)(試行稿)xx系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略xx系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估工作管
53、理規(guī)定(試行稿)xx系統(tǒng)電子數(shù)據(jù)處理管理辦法(試行)首期網(wǎng)絡(luò)與信息安全防護(hù)體系運(yùn)行管理辦法,104,評(píng)估范圍-被評(píng)估單位選擇,本次風(fēng)險(xiǎn)評(píng)估工作的對(duì)象為省級(jí)國(guó)家xx局及其兩個(gè)下屬的地市級(jí)國(guó)家xx局的信息系統(tǒng),,105,直轄市: 市國(guó)家xx局+區(qū)國(guó)家xx局 北京市x局 海淀區(qū)x局省級(jí): 省國(guó)家xx局+2地市x局 浙江省x局
54、 杭州市x局 XX市x局單列市: 市國(guó)家xx局 寧波市x局,105,評(píng)估范圍-評(píng)估對(duì)象選擇,106,106,評(píng)估范圍-評(píng)估內(nèi)容,,,基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境,,業(yè)務(wù)系統(tǒng),,,安全管理,107,實(shí)施內(nèi)容—評(píng)估準(zhǔn)備,成立風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)形成風(fēng)險(xiǎn)評(píng)估方案:《xx信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)方案》形成統(tǒng)一的評(píng)估方法:檢測(cè)工具集和測(cè)試用例庫(kù)集成,評(píng)估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)工作。
55、確定評(píng)估范圍:以《xx信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)方案》為指導(dǎo),與被評(píng)估單位協(xié)商確定此次風(fēng)險(xiǎn)評(píng)估的范圍。熟悉評(píng)估的內(nèi)容和環(huán)境確認(rèn)評(píng)估保障條件,,108,108,實(shí)施評(píng)估-現(xiàn)場(chǎng)信息獲取,現(xiàn)場(chǎng)評(píng)估啟動(dòng)會(huì)議資產(chǎn)識(shí)別威脅識(shí)別物理環(huán)境脆弱性評(píng)估網(wǎng)絡(luò)脆弱性識(shí)別系統(tǒng)脆弱性識(shí)別管理脆弱性評(píng)估滲透測(cè)試確認(rèn)現(xiàn)場(chǎng)評(píng)估結(jié)果,,109,109,實(shí)施評(píng)估-風(fēng)險(xiǎn)計(jì)算,業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)關(guān)聯(lián)值 Fn=業(yè)務(wù)系統(tǒng)脆弱性值V*業(yè)務(wù)系統(tǒng)威脅值T單一資產(chǎn)的風(fēng)險(xiǎn)值
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息安全風(fēng)險(xiǎn)管理85分
- 信息安全風(fēng)險(xiǎn)管理畢業(yè)論文
- 信息風(fēng)險(xiǎn)評(píng)估相關(guān)制度-信息安全管理相關(guān)制度
- cisp培訓(xùn)筆記
- gbt 31722-2015 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理
- 信息安全風(fēng)險(xiǎn)管理平臺(tái)設(shè)計(jì)實(shí)現(xiàn).pdf
- 中國(guó)s銀行信息安全風(fēng)險(xiǎn)管理研究
- ZS銀行信息安全風(fēng)險(xiǎn)管理策略研究.pdf
- 中國(guó)S銀行信息安全風(fēng)險(xiǎn)管理研究.pdf
- 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序
- 0302.dwg
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估指南
- 信息安全風(fēng)險(xiǎn)評(píng)估表
- 信息安全風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)管理方法20170601
- 企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究.pdf
- NS銀行信息安全風(fēng)險(xiǎn)管理體系研究.pdf
- 信息系統(tǒng)的風(fēng)險(xiǎn)分析及安全管理.pdf
- 信息安全風(fēng)險(xiǎn)管理模型的研究與應(yīng)用.pdf
評(píng)論
0/150
提交評(píng)論