CISP3风险管理PPT课件下载推荐.ppt

1、,组织实现信息安全的必要的、重要的步骤,风险评估的目的,1.2 风险评估的目的,了解组织的安全现状,分析组织的安全需求,建立信息安全管理体系的要求,制订安全策略和实施安防措施的依据,1.3 风险的定义,普通字典的解释：,风险：遭受损害或损失的可能性。,AS/NZS 4360：澳大利亚/新西兰国家标准：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。,Risk:the chance of something happening that will have on impact upon objectives.It is measured in terms of consequen

2、ces and likelihood.,1.3 风险的定义,后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。可能性 Likelihood 用作对几率或频率的定性描述。几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。,1.3 风险的定义,与风险有关的名词：,ISO/IEC TR 13335-1:1996,安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。the pote

3、ntial that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets.,1.3 风险的定义,在信息安全领域，什么是风险？,1.3 风险的定义,信息安全的定义（ISO17799）：,Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailability,信息安全的三个特征：保密性：确保只有

4、被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关 的资产。,1.3 风险的定义,信息安全风险,信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。,1.3 风险的定义,风险的四个要素：,资产及其价值 威胁 脆弱性 现有的和计划的控制措施,1.4 风险的要素,资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值,1.4 风险的要素,资产,1.4 风险的要素,资产的分类,电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉,威胁,

5、威胁是可能导致信息安全事故和组织信息资产损失的活动威胁是利用脆弱性来造成后果,1.4 风险的要素,威胁举例：,黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等,盗窃网络监听供电故障后门未授权访问,1.4 风险的要素,脆弱性,是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。,1.4 风险的要素,脆弱性举例：,系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置,物理环境不安全缺少审计缺乏安全意识后门,1.4 风险的要素,风险要素之间的相互关系：,1.4 风险的要素,威胁视

6、图：,1.4 风险的要素,脆弱性视图：,1.4 风险的要素,影响视图：,1.4 风险的要素,练习一 识别风险,请列举五个信息安全的风险的例子，并按下面的要求进行描述。,2 风险管理体系,2.1 风险管理的概念 2.2 风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-68,是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。,风险管理：,2.1 风险管理的概念,风险管理可应用于一个组织或机构的多个层次。它既可用

7、于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。,风险管理的应用时机,2.1 风险管理的概念,2.2 风险管理体系介绍,2.2.1 ISO17799：信息安全管理体系 2.2.2 AS/NZS4360：风险管理标准 2.2.1 GAO/AIMD 98-68：信息安全管理实施指南,ISO17799信息安全管理体系,2.2.1 ISO17799,是协助组织以“风险管理”为基础建立“信息安全管理体系”的国际标准。,信息安全管理体系建立步骤（BS7799-2）,2.2.1 IS

8、O17799,1、建立环境2、识别风险3、分析风险4、评估和评价风险5、处理风险,AS/NZS4360:建立风险管理系统的步骤,2.2.2 AS/NZS 4360,监控和审查信息交流和咨询,Australian/New Zealand Standard for Risk Management,AS/NZS4360：风险管理流程,2.2.2 AS/NZS 4360,1、建立环境 建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。,2.2.2 AS/NZS 4360,2、鉴别风险 鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。,

9、2.2.2 AS/NZS 4360,3、风险分析 确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。,2.2.2 AS/NZS 4360,4、评价风险 将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。,2.2.2 AS/NZS 4360,5、处理风险 接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。,2.2

10、.2 AS/NZS 4360,6、监控和检查 对于风险管理系统的运作情形以及可能影响其运行的那 些变化进行监控和检查。,2.2.2 AS/NZS 4360,7、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者Stakeholder进行信息交流和咨询。,2.2.2 AS/NZS 4360,Learning From Leading Organizations based on the best practices of of organizations noted for superior information security.,2.2.3 GAO/AIM

11、D 98-68,EXECUTIVE GUIDE:Information Security Management,Risk Management Cycle风险管理循环,建立核心管理焦点,识别风险和确定安全需求,安全意识和知识培训,实施适合的安全策略和控制措施,监督并审查安全策略和措施三的有效性,2.2.3 GAO/AIMD 98-68,GAO/AIMD 98-68识别风险和确定安全需求建立核心管理焦点实施适合的安全策略和控制措施安全意识和知识培训监督并审查安全策略和措施的有效性,2.2.3 GAO/AIMD 98-68,1、评估风险和确定需求识别信息资产按业务需求制订评估流程获得管理者和业务经

12、理的支持基于持续改进的方式进行风险管理,2.2.3 GAO/AIMD 98-68,2、建立核心管理焦点建立核心小组执行关键活动建立核心小组和高级管理者直接联络的渠道设立专项资金并配备相关人力资源培养员工的职业素质和技术能力,2.2.3 GAO/AIMD 98-68,3、实施适合的策略和相关措施将策略与业务需求相对应区分策略和指南通过核心组支持策略的实现,2.2.3 GAO/AIMD 98-68,4、增强安全意识持续培训用户的安全意识和相关策略采取集中培训和友好界面技术,2.2.3 GAO/AIMD 98-68,5、监控和评估策略、措施的有效性监控影响风险的因素和措施的有效性运用实施结果来制订后

13、续措施的制订及管理者的支持关注新的监控工具和技术,2.2.3 GAO/AIMD 98-68,3 风险评估方法,3.1 风险评估方法概述 3.2 定量的风险评估 3.3 定性的风险评估 3.4 基于要素的风险评估 3.5 定性风险评估与定量评估的比较,定义：组织确认自己所拥有的资产，分析资产所面对的威胁、所具有的脆弱性、损害发生的可能性、损害的程度等，并最终得出资产所面临的风险等级的过程。,3.1 风险评估方法概述,资产识别确定威胁（Threat）识别脆弱性（Vulnerability）实施控制方法,原则：不管使用哪一种风险评估的方法或工具，其内容 都应包括以下四个要素：,3.1 风险评估方法概述,资产价值可能胁迫资产的威胁和其发生的可能性因脆弱点被威胁利用而造成冲击的容易度目前或计划中可能降低脆弱点、威胁和冲击严重性的保护措施,换句话说，风险是以下事项的作用：,3.1 风险评估方法概述,要考虑影响和可能性在决定所需控制方法时，对既有控制方法的评估是必须的控制方法只能将风险降低到可接受的程度百分之百的安全，并不是安全管理的目的。,3.1 风险评估方法