《《信息安全风险管理》PPT课件.pptx》由会员分享,可在线阅读,更多相关《《信息安全风险管理》PPT课件.pptx(12页珍藏版)》请在三一文库上搜索。
1、国家(上海)信息安全工程技术研究中心 上海世博会信息化安全性检测与评估技术联合实验室 2010年9月,信息安全风险管理,主要内容,风险与风险管理,风险(Risk)在信息安全领域讲,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。,风险评估(Risk Assessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。,风险管理的形象描述,系统基本风险,采取措施后残余风险,安全成本与利益的平衡,绝对安全是不现实的 寻求达到安全目标
2、与安全成本的平衡,风险管理的实际操作流程,风险评估是风险管理过程中的关键步骤,风险评估的一般方法,定量风险评估:试图从数字上对安全风险进行分析评估的一种方法。 定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。,风险评估量化计算模型,渗透测试模型,国内外信息安全发展现状(标准体系),国内 等级保护体系(GB 17859) 信息安全保障体系(GB/T 20274) ,国际 技术体系(RFC、NIST-SP800) 管理体系(ISO27001/ISO27002) 评估体系(ISO15408) ,ISO27001-风险管理的过程模型,应用于ISMS过程的PDCA模型,计划:建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总体方针和总体目标一致的结果。 实施:实施和运行ISMS方针、控制措施和规程。 检查:基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,已持续改进ISMS。 处置:对照ISMS方针、目标和实践经验,评估并在适当时检测过程的执行情况,并将结果报告管理者以供评审。,Thank You!,