信息安全风险评估与风险管理(PPT 101页)4.ppt

上传人:云*** 文档编号:90059698 上传时间:2023-05-13 格式:PPT 页数:101 大小:1.77MB
返回 下载 相关 举报
信息安全风险评估与风险管理(PPT 101页)4.ppt_第1页
第1页 / 共101页
信息安全风险评估与风险管理(PPT 101页)4.ppt_第2页
第2页 / 共101页
点击查看更多>>
资源描述

《信息安全风险评估与风险管理(PPT 101页)4.ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估与风险管理(PPT 101页)4.ppt(101页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿

2、里巧巧软商品交易在阿里巧巧 信息安全风险评估与风险管理国家信息中心信息安全服务与研究中心范红 2004-1-122004-1-121SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 汇报内容一、前言一、前言二、信息安全风险管理概述二、信息安全风险管理概述三、信息安全风险管理各组成部分三、信息安

3、全风险管理各组成部分四、信息安全风险管理的运用四、信息安全风险管理的运用五、结束语五、结束语2SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 一、前言 3SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

4、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险

5、管理的角色和责任4SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、

6、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任5SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一

7、信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。1 1、信息安全风险管理体现在信息安全保障体系、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。2 2、信息安全风险管理贯穿信息系统生命周期的、信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。3 3、信息安全风险管理依据等级保护的思想和适、信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的

8、安全措施,从而确保机构具有完础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。6SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管

9、理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任7SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴

10、 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息安全风险管理的范围和对象8SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全

11、风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任9SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息安全风险管

12、理的内容和过程 10SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4

13、、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任11SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三维结构关系12SIC INFOSEC SIC INFOSEC S

14、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和

15、信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任13SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息安全风险管理相关人员的角色和责任 层面层面信息系统信息系统信息安全风险管理信息安全风险管理角色角色内外部内外部责任责任角色角色内外部

16、内外部责任责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨

17、询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。14SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准

18、、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查15SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6

19、6、监控与审查、监控与审查16SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 对象确立概述对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,步骤,根据要保护系统的业务目标和特性,确定风险管理对象。其目的是为了明确信确定风险管理对象。其目的是

20、为了明确信息安全风险管理的范围和对象,以及对象息安全风险管理的范围和对象,以及对象的特性和安全要求。的特性和安全要求。17SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 对象确立过程18SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

21、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险管理准备19SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧

22、软商品交易在阿里巧巧 信息系统调查 20SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息系统分析21SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

23、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 信息安全分析22SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管

24、理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。23SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买

25、卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查24SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易

26、在阿里巧巧 风险评估概述 风险评估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。险进行识别、分析和评价。25SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险评估过程26SIC INF

27、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险评估准备27SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

28、IC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险因素识别28SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险程度分析29SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

29、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险等级评价30SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在

30、阿里巧巧软商品交易在阿里巧巧 风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。31SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

31、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。脆弱

32、性分析报告按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面,分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。32SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险评估的文档风险等级评价威胁源等级列

33、表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表,综合评价风险的等级。33SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三、信

34、息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查34SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险控制概述 风险控制是信息安全风险管理的第三步骤

35、,风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措依据风险评估的结果,选择和实施合适的安全措施。施。风险控制方式主要有规避、转移和降低三种风险控制方式主要有规避、转移和降低三种方式方式。35SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险控制需求及其相应的

36、风险控制措施PPDRR风险控制需求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则36SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商

37、品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全

38、漏洞。身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙,阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。数字签名在需要防止事后否认时,可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗

39、位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。37SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报

40、警。数据校验通过数据校验技术,发现数据篡改。主机入侵检测部署主机入侵检测系统,发现主机入侵行为。主机状态监测部署主机状态监测系统,随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统,发现网络入侵行为。网络状态监测部署网络状态监测系统,随时掌握网络运行状态。安全审计在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。38SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

41、EC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施,配备设施备份与恢复系统。系统备份与恢复对于关键系统,配备系统备份与恢复系统。数据备份与恢复对于关键数据,配备数据备份与恢复系统。信道备份与恢复对于关键信道,配备设信道份与恢复系统。应用备份与恢复对于关键应用,配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。

42、安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。39SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险控制过程40SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN

43、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 现存风险判断41SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 控制目标确立42SIC IN

44、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 控制措施选择43SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

45、SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 控制措施实施44SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险控制的文档阶段阶段输出文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分,即把风险

46、评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。风险控制目标列表风险控制目标的列表,包括控制对象及其最低保护等级。45SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

47、OSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。46SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

48、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查47SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

49、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 审核批准概述 审核批准是信息安全风险管理的第四步骤,审核批审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、准包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核信息系统的安全要求;批准是指

50、机构的决策层依据审核的结果,做出是否认可的决定。的结果,做出是否认可的决定。审核既可以由机构内部完成,也可以委托外部专业审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。48SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 管理文献 > 企业管理

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁