信息安全風(fēng)險評估與風(fēng)險管理.ppt

1、信息安全風(fēng)險評估與風(fēng)險管理,天馬行空官方博客： ；QQ:1318241189；QQ群：175569632,2020/10/19,2,匯報內(nèi)容,一、前言 二、信息安全風(fēng)險管理概述 三、信息安全風(fēng)險管理各組成部分 四、信息安全風(fēng)險管理的運(yùn)用 五、結(jié)束語,天馬行空官方博客： ；QQ:1318241189；QQ群：175569632,2020/10/19,3,一、前言,2020/10/19,4,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、 信息安全風(fēng)險管理的內(nèi)容和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安

2、全風(fēng)險管理的角色和責(zé)任,2020/10/19,5,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、 信息安全風(fēng)險管理的內(nèi)容和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險管理的角色和責(zé)任,2020/10/19,6,信息安全風(fēng)險管理的目的和意義,信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作 。 1、信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 2、信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程。 3、信息安全風(fēng)險管理依據(jù)等級保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部

3、署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。,2020/10/19,7,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、 信息安全風(fēng)險管理的內(nèi)容和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險管理的角色和責(zé)任,2020/10/19,8,信息安全風(fēng)險管理的范圍和對象,2020/10/19,9,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、 信息安全風(fēng)險管理的內(nèi)容

4、和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險管理的角色和責(zé)任,2020/10/19,10,信息安全風(fēng)險管理的內(nèi)容和過程,2020/10/19,11,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、 信息安全風(fēng)險管理的內(nèi)容和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險管理的角色和責(zé)任,2020/10/19,12,三維結(jié)構(gòu)關(guān)系,2020/10/19,13,二、信息安全風(fēng)險管理概述,1、 信息安全風(fēng)險管理的目的和意義 2、 信息安全風(fēng)險管理的范圍和對象 3、

5、 信息安全風(fēng)險管理的內(nèi)容和過程 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險管理的角色和責(zé)任,2020/10/19,14,信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任,2020/10/19,15,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/10/19,16,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/10/19,17,對象確立概述,對象確立是信息安全風(fēng)險管理的第一步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和

6、特性，確定風(fēng)險管理對象。其目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求。,2020/10/19,18,對象確立過程,2020/10/19,19,風(fēng)險管理準(zhǔn)備,2020/10/19,20,信息系統(tǒng)調(diào)查,2020/10/19,21,信息系統(tǒng)分析,2020/10/19,22,信息安全分析,2020/10/19,23,對象確立的文檔,2020/10/19,24,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/10/19,25,風(fēng)險評估概述,風(fēng)險評估是信息安全風(fēng)險管理的第二步，針對確立的風(fēng)險管理對象

7、所面臨的風(fēng)險進(jìn)行識別、分析和評價。,2020/10/19,26,風(fēng)險評估過程,2020/10/19,27,風(fēng)險評估準(zhǔn)備,2020/10/19,28,風(fēng)險因素識別,2020/10/19,29,風(fēng)險程度分析,2020/10/19,30,風(fēng)險等級評價,2020/10/19,31,風(fēng)險評估的文檔,2020/10/19,32,風(fēng)險評估的文檔,2020/10/19,33,風(fēng)險評估的文檔,2020/10/19,34,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/10/19,35,風(fēng)險控制概述,風(fēng)險控制是信息安全風(fēng)險管理的第三

8、步驟，依據(jù)風(fēng)險評估的結(jié)果，選擇和實施合適的安全措施。風(fēng)險控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式。,2020/10/19,36,風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施,2020/10/19,37,主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施,2020/10/19,38,主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施,2020/10/19,39,主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施,2020/10/19,40,風(fēng)險控制過程,2020/10/19,41,現(xiàn)存風(fēng)險判斷,2020/10/19,42,控制目標(biāo)確立,2020/10/19,43,控制措施選擇,2020/10/19,44,控制措施實施,2020/10/1

9、9,45,風(fēng)險控制的文檔,2020/10/19,46,風(fēng)險控制的文檔,2020/10/19,47,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/10/19,48,審核批準(zhǔn)概述,審核批準(zhǔn)是信息安全風(fēng)險管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過審查、測試、評審等手段，檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。 審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機(jī)構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)

10、內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來執(zhí)行。,2020/10/19,49,審核批準(zhǔn)過程及其在信息安全風(fēng)險管理中的位置,2020/10/19,50,審核申請,2020/10/19,51,審核處理,2020/10/19,52,批準(zhǔn)申請,2020/10/19,53,批準(zhǔn)處理,2020/10/19,54,持續(xù)監(jiān)督,2020/10/19,55,審核批準(zhǔn)的文檔,2020/10/19,56,審核批準(zhǔn)的文檔,2020/10/19,57,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、監(jiān)控與審查 6、溝通與咨詢,2020/10/19,58,監(jiān)控與審查的概述,監(jiān)控與審查對信息

11、安全風(fēng)險管理主循環(huán)的四個步驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。,2020/10/19,59,監(jiān)控與審查過程,2020/10/19,60,貫穿對象確立,2020/10/19,61,貫穿風(fēng)險評估,2020/10/19,62,貫穿風(fēng)險評估,2020/10/19,63,貫穿風(fēng)險控制,2020/10/19,64,貫穿風(fēng)險控制,2020/10/19,65,貫穿審核批準(zhǔn),2020/

12、10/19,66,貫穿審核批準(zhǔn),2020/10/19,67,監(jiān)控與審查的文檔,2020/10/19,68,三、信息安全風(fēng)險管理各組成部分,1、對象確立 2、風(fēng)險評估 3、風(fēng)險控制 4、審核批準(zhǔn) 5、監(jiān)控與審查 6、溝通與咨詢,2020/10/19,69,溝通與咨詢的概述,溝通與咨詢?yōu)樾畔踩L(fēng)險管理主循環(huán)的四個步驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準(zhǔn)）中相關(guān)人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實現(xiàn)安全目標(biāo)。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑，以提高他們的風(fēng)險意識、知識和技能，配合實現(xiàn)安全目標(biāo)。,2020/10/19,70,溝通與咨詢的方式,2

13、020/10/19,71,溝通與咨詢的過程,2020/10/19,72,貫穿對象確立,2020/10/19,73,貫穿風(fēng)險評估,2020/10/19,74,貫穿風(fēng)險評估,2020/10/19,75,貫穿風(fēng)險控制,2020/10/19,76,貫穿風(fēng)險控制,2020/10/19,77,貫穿審核批準(zhǔn),2020/10/19,78,貫穿審核批準(zhǔn),2020/10/19,79,溝通與咨詢的文檔,2020/10/19,80,四、信息安全風(fēng)險管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計階段 3、實施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,81,四、信息安全風(fēng)險管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計階段 3、實

14、施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,82,安全需求和目標(biāo),明確安全總體方針 確保安全總體方針源自業(yè)務(wù)期望 明確項目范圍 清晰描述項目范圍內(nèi)所涉及系統(tǒng)的安全現(xiàn)狀 提交明確的安全需求文檔 清晰描述從系統(tǒng)的那些層次進(jìn)行安全實現(xiàn) 對實現(xiàn)的可能性進(jìn)行充分分析、論證 明確評價準(zhǔn)則并達(dá)成一致,2020/10/19,83,風(fēng)險管理的過程概述,在項目規(guī)劃階段，風(fēng)險管理者應(yīng)能清楚、準(zhǔn)確地描述機(jī)構(gòu)的安全總體方針、安全策略、風(fēng)險管理范圍、當(dāng)前正在進(jìn)行的或計劃中將要執(zhí)行的風(fēng)險管理活動以及當(dāng)前特殊安全要求等。,2020/10/19,84,風(fēng)險管理的活動,2020/10/19,85,四、信息安全風(fēng)險管

15、理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計階段 3、實施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,86,安全需求和目標(biāo),對用以實現(xiàn)安全系統(tǒng)的各類技術(shù)進(jìn)行有效性評估。 對用于實施方案的產(chǎn)品需滿足安全保護(hù)等級的要求 對自開發(fā)的軟件要在結(jié)構(gòu)設(shè)計階段就充分考慮安全風(fēng)險,2020/10/19,87,風(fēng)險管理的過程概述,在設(shè)計階段，風(fēng)險管理者應(yīng)能標(biāo)識出在項目結(jié)構(gòu)實現(xiàn)過程中潛在的安全風(fēng)險，為設(shè)計說明中的安全性設(shè)計提供評判依據(jù)，并對實施方案中選擇的產(chǎn)品進(jìn)行合格檢查，確保項目設(shè)計階段的重要環(huán)節(jié)均能得到較好的安全風(fēng)險控制。,2020/10/19,88,風(fēng)險管理的活動,2020/10/19,89,四、信息安全風(fēng)

16、險管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計階段 3、實施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,90,安全需求和目標(biāo),實施階段是按照規(guī)劃和設(shè)計階段所定義的信息系統(tǒng)實施方案，采購設(shè)備和軟件，開發(fā)定制功能，集成、部署、配置和測試系統(tǒng)，培訓(xùn)人員，并對是否允許系統(tǒng)投入運(yùn)行進(jìn)行審核批準(zhǔn)。,2020/10/19,91,風(fēng)險管理的過程概述,實施階段的風(fēng)險管理主要活動包括檢查與配置、安全測試、人員培訓(xùn)及授權(quán)運(yùn)行，同時在上述過程中通過監(jiān)控與審查、溝通與咨詢來確保本階段風(fēng)險管理目標(biāo)的實現(xiàn)。,2020/10/19,92,風(fēng)險管理的活動,2020/10/19,93,四、信息安全風(fēng)險管理的運(yùn)用,1、規(guī)劃階段

17、2、設(shè)計階段 3、實施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,94,安全需求和目標(biāo),運(yùn)行維護(hù)階段是在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后，通過風(fēng)險管理的相關(guān)過程和活動，確保信息系統(tǒng)在運(yùn)行過程中、以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運(yùn)行和安全性。,2020/10/19,95,風(fēng)險管理的過程概述,運(yùn)行維護(hù)階段的風(fēng)險管理主要活動包括安全運(yùn)行和管理、變更管理、風(fēng)險再評估、定期重新審批，同時在上述過程中通過監(jiān)控與審查、溝通與咨詢來確保本階段風(fēng)險管理目標(biāo)的實現(xiàn)。,2020/10/19,96,運(yùn)行維護(hù)階段風(fēng)險管理活動的流程,2020/10/19,97,四、信息安全風(fēng)險管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計階段 3、實施階段 4、運(yùn)維階段 5、廢棄階段,2020/10/19,98,安全需求和目標(biāo),廢棄階段是對信息系統(tǒng)