信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件

上傳人：t*** IP屬地：貴州上傳時(shí)間：2022-11-22 格式：PPT 頁(yè)數(shù)：152 大小：3.42MB 積分：25 舉報(bào) 版權(quán)申訴

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件_第2頁(yè)

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件_第3頁(yè)

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件_第4頁(yè)

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件_第5頁(yè)

已閱讀5頁(yè)，還剩147頁(yè)未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說(shuō)明：本文檔由用戶(hù)提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估1什么是風(fēng)險(xiǎn)評(píng)估？——從深夜一個(gè)回家的女孩開(kāi)始講起……什么是風(fēng)險(xiǎn)評(píng)估？——從深夜一個(gè)回家的女孩開(kāi)始講起……2風(fēng)險(xiǎn)評(píng)估的基本概念風(fēng)險(xiǎn)評(píng)估的基本概念3各安全組件之間的關(guān)系各安全組件之間的關(guān)系4資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢(qián)被偷100塊沒(méi)飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢(qián)被偷100塊沒(méi)飯吃小偷打瞌睡服務(wù)器黑客5風(fēng)險(xiǎn)評(píng)估6風(fēng)險(xiǎn)

風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指各種威脅導(dǎo)致安全事件發(fā)生的可能性及其對(duì)組織所造成的負(fù)面影響。風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)評(píng)估（RiskAssessment）就是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，它包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程。概述風(fēng)險(xiǎn)評(píng)估6風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理（RiskManagemen6相關(guān)概念資產(chǎn)（Asset）——任何對(duì)企業(yè)具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對(duì)資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點(diǎn)（Vulnerability）——也被稱(chēng)作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害的潛在可能性?？赡苄裕↙ikelihood）——對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給企業(yè)帶來(lái)的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。相關(guān)概念資產(chǎn)（Asset）——任何對(duì)企業(yè)具有價(jià)值的7風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)影響威脅脆弱性影響威脅脆弱性風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的8資產(chǎn)分類(lèi)方法分類(lèi)示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)、各類(lèi)紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、語(yǔ)句包、開(kāi)發(fā)系統(tǒng)等應(yīng)用軟件:辦公軟件、數(shù)據(jù)庫(kù)軟件、各類(lèi)工具軟件等源程序:各種共享源代碼、自行或合作開(kāi)發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備:路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備:大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等存儲(chǔ)設(shè)備:磁帶機(jī)、磁盤(pán)陣列、磁帶、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)等傳輸線(xiàn)路:光纖、雙絞線(xiàn)等保障設(shè)備:UPS、變電設(shè)備等、空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁、消防設(shè)施等安全保障：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等其他:打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等資產(chǎn)分類(lèi)方法分類(lèi)示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括9資產(chǎn)分類(lèi)方法分類(lèi)示例服務(wù)信息服務(wù):對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服務(wù)網(wǎng)絡(luò)服務(wù):各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù):為提高效率而開(kāi)發(fā)的管理信息系統(tǒng),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員,如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象、客戶(hù)關(guān)系等資產(chǎn)分類(lèi)方法分類(lèi)示例服務(wù)信息服務(wù):對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服10資產(chǎn)識(shí)別模型網(wǎng)絡(luò)層機(jī)房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機(jī)設(shè)備軟件OA人員、文檔、制度業(yè)務(wù)層物理層主機(jī)層應(yīng)用層管理層EAI/EIP工程管理物資管理生產(chǎn)管理營(yíng)銷(xiāo)系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機(jī)設(shè)備網(wǎng)絡(luò)設(shè)備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層資產(chǎn)識(shí)別模型網(wǎng)絡(luò)層機(jī)房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機(jī)設(shè)備11資產(chǎn)價(jià)值的評(píng)估資產(chǎn)價(jià)值的評(píng)估12信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護(hù)信息及其處理方法的準(zhǔn)確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY13信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件14信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件15信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件16資產(chǎn)等級(jí)計(jì)算公式AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA資產(chǎn)等級(jí)計(jì)算公式AV=F(AC,AI,AA)17信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件18威脅來(lái)源列表來(lái)源描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠蟻蟲(chóng)害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害,以及軟件、硬件、數(shù)據(jù)、通訊線(xiàn)路等方面的故障人為因素惡意人員不滿(mǎn)的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞;采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改,獲取利益外部人員利用信息系統(tǒng)的脆弱性,對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞,以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心,或者由于不關(guān)心和不專(zhuān)注,或者沒(méi)有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞;內(nèi)部人員由于缺乏培訓(xùn)、專(zhuān)業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。威脅來(lái)源列表來(lái)源描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠19威脅分類(lèi)表威脅分類(lèi)表20信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件21脆弱性識(shí)別內(nèi)容表脆弱性識(shí)別內(nèi)容表22信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件23威脅與脆弱性之間的關(guān)系威脅與脆弱性之間的關(guān)系24風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析原理25定性風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析26風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。一般風(fēng)險(xiǎn)計(jì)算方法：矩陣法和相乘法風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F27矩陣法矩陣法28信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件29風(fēng)險(xiǎn)評(píng)價(jià)示例風(fēng)險(xiǎn)評(píng)價(jià)示例3031確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（ReduceRisk）——采取適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃，等等。避免風(fēng)險(xiǎn)（AvoidRisk）——通過(guò)消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來(lái)避免風(fēng)險(xiǎn)的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來(lái)自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風(fēng)險(xiǎn)（TransferRisk）——將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買(mǎi)商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以有意識(shí)地選擇接受。31確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（ReduceRisk）—3132評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr＝原有的風(fēng)險(xiǎn)R0－控制ΔR殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程其實(shí)就是風(fēng)險(xiǎn)接受的過(guò)程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。32評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。32等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別目的不同等級(jí)測(cè)評(píng)：以是否符合等級(jí)保護(hù)基本要求為目的照方抓藥風(fēng)險(xiǎn)評(píng)估：以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的對(duì)癥下藥等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別目的不同33等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別參照標(biāo)準(zhǔn)不同等級(jí)測(cè)評(píng)：GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GA/T387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》GA388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》GA391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》…風(fēng)險(xiǎn)評(píng)估：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》…等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別參照標(biāo)準(zhǔn)不同34等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別可以簡(jiǎn)單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)險(xiǎn)評(píng)估是一種針對(duì)性的手段。等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別可以簡(jiǎn)單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)35為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？——該買(mǎi)辣椒水呢還是請(qǐng)保鏢？為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？——該買(mǎi)辣椒水呢還是請(qǐng)保鏢？36什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個(gè)基本問(wèn)題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個(gè)基本37什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理基本問(wèn)題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析38潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析安全決策風(fēng)險(xiǎn)管理兩個(gè)答案的相關(guān)性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析安全決策風(fēng)險(xiǎn)管理兩個(gè)39信息安全的演化信息安全的演化40概念的演化和技術(shù)的演化同步概念的演化和技術(shù)的演化同步41可信是保障概念的延續(xù)可信是保障概念的延續(xù)42信息安全的事實(shí)廣泛安全是一個(gè)廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等），每個(gè)區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。動(dòng)態(tài)相對(duì)絕對(duì)的信息安全是不存在的。信息安全問(wèn)題的解決只能通過(guò)一系列的規(guī)劃和措施，把風(fēng)險(xiǎn)降低到可被接受的程度，同時(shí)采取適當(dāng)?shù)臋C(jī)制使風(fēng)險(xiǎn)保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時(shí)應(yīng)當(dāng)重新規(guī)劃和實(shí)施來(lái)適應(yīng)新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素，同時(shí)也應(yīng)該清醒的認(rèn)識(shí)到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴(lài)于安全產(chǎn)品的堆積來(lái)應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，要從觀(guān)念上進(jìn)行轉(zhuǎn)變，規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個(gè)可持續(xù)的動(dòng)態(tài)發(fā)展的過(guò)程。信息安全的事實(shí)廣泛安全是一個(gè)廣泛的主題，它涉及到許多不同的區(qū)43

安全保障體系建設(shè)安全成本效率

安全-效率曲線(xiàn)

安全-成本曲線(xiàn)要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的安全不同的信息系統(tǒng)，對(duì)于安全的要求不同，不是“越安全越好”安全保障體系建設(shè)安成本安全-效率曲線(xiàn)44信息系統(tǒng)矛盾三角信息系統(tǒng)矛盾三角45三類(lèi)操作系統(tǒng)舉例三類(lèi)操作系統(tǒng)舉例46信息安全保障能力成長(zhǎng)階段成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長(zhǎng)階段成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓47能力成長(zhǎng)階段的劃分盲目自信階段普遍缺乏安全意識(shí)，對(duì)企業(yè)安全狀況不了解，未意識(shí)到信息安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)知階段通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估等，企業(yè)意識(shí)到自身存在的信息安全風(fēng)險(xiǎn)，開(kāi)始采取一些措施提升信息安全水平改進(jìn)階段意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開(kāi)始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系卓越運(yùn)營(yíng)階段信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對(duì)安全風(fēng)險(xiǎn)的變化，不斷提升安全控制能力能力成長(zhǎng)階段的劃分盲目自信階段48各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團(tuán)隊(duì)制定安全方針政策評(píng)估并了解現(xiàn)狀各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越49各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%啟動(dòng)信息安全戰(zhàn)略項(xiàng)目設(shè)計(jì)信息安全架構(gòu)建立信息安全流程完成信息安全改進(jìn)項(xiàng)目各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越50各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進(jìn)追蹤技術(shù)和業(yè)務(wù)的變化各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越51怎么做風(fēng)險(xiǎn)評(píng)估？—評(píng)估到底買(mǎi)辣椒水還是請(qǐng)保鏢更合適怎么做風(fēng)險(xiǎn)評(píng)估？—評(píng)估到底買(mǎi)辣椒水還是請(qǐng)保鏢更合適52可能的攻擊信息的價(jià)值可能的損失風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要版可能的攻擊信息的價(jià)值可能的損失風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要版53資產(chǎn)弱點(diǎn)影響弱點(diǎn)威脅可能性+=當(dāng)前的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法示意圖資產(chǎn)弱點(diǎn)影響弱點(diǎn)威脅可能性+=當(dāng)前的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法示意54損失的量化必須圍繞用戶(hù)的核心價(jià)值，用戶(hù)的核心業(yè)務(wù)流程！如何量化損失損失的量化必須圍繞用戶(hù)的核心價(jià)值，用戶(hù)的核心業(yè)務(wù)流程！如何量55風(fēng)險(xiǎn)管理趨勢(shì)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來(lái)源：Gartner風(fēng)險(xiǎn)管理趨勢(shì)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成56否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)識(shí)別評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)估結(jié)果記錄評(píng)估結(jié)果文檔…風(fēng)險(xiǎn)評(píng)估流程否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受57等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架保護(hù)對(duì)象劃分和定級(jí)網(wǎng)絡(luò)系統(tǒng)劃分和定級(jí)資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)分析基本安全要求等級(jí)保護(hù)管理辦法、指南信息安全政策、標(biāo)準(zhǔn)、法律法規(guī)安全需求風(fēng)險(xiǎn)列表安全規(guī)劃風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架保護(hù)對(duì)象劃分和定級(jí)網(wǎng)絡(luò)系統(tǒng)劃分和定58結(jié)合等保測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估流程結(jié)合等保測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估流程596060風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6060風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤606161評(píng)估工作各角色的責(zé)任評(píng)估組長(zhǎng)評(píng)估員XX公司安全專(zhuān)責(zé)負(fù)責(zé)管理問(wèn)卷訪(fǎng)談和運(yùn)維問(wèn)卷訪(fǎng)談；組織評(píng)估活動(dòng)，控制協(xié)調(diào)進(jìn)度，保證按計(jì)劃完成評(píng)估任務(wù)；組織召開(kāi)評(píng)估會(huì)議；代表評(píng)估小組與受評(píng)估方管理層接觸；組織撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告、現(xiàn)狀報(bào)告和安全改進(jìn)建議提交評(píng)估報(bào)告。負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估技術(shù)部分的內(nèi)容包括：網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用和數(shù)據(jù)庫(kù)評(píng)估熟悉必要的文件和程序；準(zhǔn)備風(fēng)險(xiǎn)評(píng)估技術(shù)評(píng)估工具；撰寫(xiě)每單位的評(píng)估報(bào)告；配合支持評(píng)估組長(zhǎng)的工作，有效完成評(píng)估任務(wù)；收存和保護(hù)與評(píng)估有關(guān)的文件。負(fù)責(zé)配合顧問(wèn)提供風(fēng)險(xiǎn)評(píng)估相關(guān)的工作環(huán)境、評(píng)估實(shí)現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評(píng)估顧問(wèn)完成資產(chǎn)分類(lèi)、賦值、弱點(diǎn)威脅發(fā)現(xiàn)和賦值、風(fēng)險(xiǎn)處理意見(jiàn)等工作；掌握風(fēng)險(xiǎn)評(píng)估方法；收存和保護(hù)與評(píng)估有關(guān)的文件。完成掃描后,檢查風(fēng)險(xiǎn)評(píng)估后系統(tǒng)的安全性和穩(wěn)定性6161評(píng)估工作各角色的責(zé)任評(píng)估組長(zhǎng)評(píng)估員XX公司安全專(zhuān)責(zé)負(fù)616262風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6262風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤626363制定評(píng)估計(jì)劃評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，前者通常是評(píng)估策劃階段就需要完成的，是整個(gè)評(píng)估活動(dòng)的總綱，而具體的評(píng)估實(shí)施計(jì)劃則是遵照年度評(píng)估計(jì)劃而對(duì)每次的評(píng)估活動(dòng)所作的實(shí)施安排。評(píng)估計(jì)劃通常應(yīng)該包含以下內(nèi)容：目的：申明組織實(shí)施內(nèi)部評(píng)估的目標(biāo)。

時(shí)間安排：評(píng)估時(shí)間避免與重要業(yè)務(wù)活動(dòng)發(fā)生沖突。

評(píng)估類(lèi)型：集中方式（本次項(xiàng)目采用集中評(píng)估方式）

其他考慮因素：范圍、評(píng)估組織、評(píng)估要求、特殊情況等。評(píng)估實(shí)施計(jì)劃是對(duì)特定評(píng)估活動(dòng)的具體安排，內(nèi)容通常包括：目的、范圍、準(zhǔn)則、評(píng)估組成員及分工、評(píng)估時(shí)間和地點(diǎn)、首末次會(huì)議及報(bào)告時(shí)間評(píng)估計(jì)劃應(yīng)以文件形式頒發(fā)，評(píng)估實(shí)施計(jì)劃應(yīng)該有評(píng)估組長(zhǎng)簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。6363制定評(píng)估計(jì)劃評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，636464風(fēng)險(xiǎn)評(píng)估計(jì)劃示例評(píng)估目的評(píng)價(jià)信息安全管理體系運(yùn)行的符合性和有效性評(píng)估范圍××××××××××××××××××評(píng)估準(zhǔn)則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估小組評(píng)估組長(zhǎng)×××評(píng)估組員×××××××××××××××評(píng)估活動(dòng)

時(shí)間負(fù)責(zé)人備注填寫(xiě)信息資產(chǎn)采集表X月上旬×××

實(shí)施風(fēng)險(xiǎn)評(píng)估過(guò)程X月中旬×××

不符合項(xiàng)及高危風(fēng)險(xiǎn)糾正X月末各相關(guān)部門(mén)負(fù)責(zé)人

跟蹤驗(yàn)證X月上旬評(píng)估小組

召開(kāi)風(fēng)險(xiǎn)評(píng)估整改會(huì)議X月下旬信息部領(lǐng)導(dǎo)

編制編寫(xiě)者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××（信息按照專(zhuān)責(zé)簽字）時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部門(mén)領(lǐng)導(dǎo)簽字）時(shí)間×××年×月×日6464風(fēng)險(xiǎn)評(píng)估計(jì)劃示例評(píng)估目的評(píng)價(jià)信息安全管理體系運(yùn)行的符646565風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例評(píng)估目的對(duì)ISMS進(jìn)行內(nèi)部評(píng)估，為體系糾正提供依據(jù)，為管理評(píng)審提供輸入評(píng)估范圍××××××××××××××評(píng)估準(zhǔn)則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估方式集中式評(píng)估評(píng)估時(shí)間X年X月X－X月X日評(píng)估組織評(píng)估組長(zhǎng)×××評(píng)估組員第一小組×××××××××第二小組×××××××××評(píng)估安排日期時(shí)間評(píng)估區(qū)域評(píng)估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會(huì)議室首次會(huì)議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會(huì)議室評(píng)估小組會(huì)議14:00-15:00會(huì)議室末次會(huì)議編制編寫(xiě)者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××（信息安全專(zhuān)責(zé)簽字）時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部管理者簽字）時(shí)間×××年×月×日6565風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例評(píng)估目的對(duì)ISMS進(jìn)行內(nèi)部評(píng)估，656666風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6666風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤666767檢查列表的四要素去哪里？找誰(shuí)？查什么？如何查？6767檢查列表的四要素去哪里？找誰(shuí)？查什么？如何查？676868風(fēng)險(xiǎn)評(píng)估常用方法

檢查列表：評(píng)估員根據(jù)自己的需要，事先編制針對(duì)某方面問(wèn)題的檢查列表，然后逐項(xiàng)檢查符合性，在確認(rèn)檢查列表應(yīng)答時(shí)，評(píng)估員可以采取調(diào)查問(wèn)卷、文件審查、現(xiàn)場(chǎng)觀(guān)察和人員訪(fǎng)談等方式。

文件評(píng)估：評(píng)估員在現(xiàn)場(chǎng)評(píng)估之前，應(yīng)該對(duì)受評(píng)估方與信息安全管理活動(dòng)相關(guān)的所有文件進(jìn)行審查，包括安全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書(shū)和記錄文件。

現(xiàn)場(chǎng)觀(guān)察：評(píng)估員到現(xiàn)場(chǎng)參觀(guān)，可以觀(guān)察并獲取關(guān)于現(xiàn)場(chǎng)物理環(huán)境、信息系統(tǒng)的安全操作和各類(lèi)安全管理活動(dòng)的第一手資料。

人員訪(fǎng)談：與受評(píng)估方人員進(jìn)行面談，評(píng)估員可以了解其職責(zé)范圍、工作陳述、基本安全意識(shí)、對(duì)安全管理獲知的程度等信息。評(píng)估員進(jìn)行人員訪(fǎng)談時(shí)要做好記錄和總結(jié)，必要時(shí)要和訪(fǎng)談對(duì)象進(jìn)行確認(rèn)。

技術(shù)評(píng)估：評(píng)估員可以采用各種技術(shù)手段，對(duì)技術(shù)性控制的效力及符合性進(jìn)行評(píng)估。這些技術(shù)性措施包括：自動(dòng)化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測(cè)試等。6868風(fēng)險(xiǎn)評(píng)估常用方法檢查列表：評(píng)估員根據(jù)自己的需要，686969評(píng)估員檢查工具——檢查列表檢查列表（Checklist）是評(píng)估員進(jìn)行評(píng)估時(shí)必備的自用工具，是評(píng)估前需準(zhǔn)備的一個(gè)重要工作文件。

在實(shí)施評(píng)估之前，評(píng)估員將根據(jù)分工情況來(lái)準(zhǔn)備各自在現(xiàn)場(chǎng)評(píng)估所需的檢查列表，檢查列表的內(nèi)容，取決于評(píng)估主題和被評(píng)估部門(mén)的職能、范圍、評(píng)估方法及要求。檢查列表在信息安全管理體系內(nèi)部評(píng)估中起著以下重要作用：明確與評(píng)估目標(biāo)有關(guān)的抽樣問(wèn)題；使評(píng)估程序規(guī)范化，減少評(píng)估工作的隨意性和盲目性；保證評(píng)估目標(biāo)始終明確，突出重點(diǎn)，避免在評(píng)估過(guò)程中因迷失方向而浪費(fèi)時(shí)間；更好地控制評(píng)估進(jìn)度；檢查列表、評(píng)估計(jì)劃和評(píng)估報(bào)告一起，都作為評(píng)估記錄而存檔。6969評(píng)估員檢查工具——檢查列表檢查列表（Checkl697070檢查列表編寫(xiě)的依據(jù)，是評(píng)估準(zhǔn)則，也就是信息安全管理標(biāo)準(zhǔn)、組織信息安全方針手冊(cè)等文件的要求針對(duì)受評(píng)估部門(mén)的特點(diǎn)，重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問(wèn)題信息的收集和驗(yàn)證的方法應(yīng)該多種多樣，包括面談、觀(guān)察、文件和記錄的收集和匯總分析、從其他信息源（客戶(hù)反饋、外部報(bào)告等）收集信息等檢查列表應(yīng)該具有可操作性檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求如果采用了技術(shù)性評(píng)估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過(guò)信息安全主管人員審查無(wú)誤后才能使用檢查列表編寫(xiě)注意事項(xiàng)7070檢查列表編寫(xiě)的依據(jù)，是評(píng)估準(zhǔn)則，也就是信息安全管7071常用技術(shù)工具清單技術(shù)漏洞掃描工具Nessus掃描器Nmap端口掃描工具綠盟極光漏洞掃描器安信通數(shù)據(jù)庫(kù)掃描器WireShark/EtherealIBMAppscan71常用技術(shù)工具清單技術(shù)漏洞掃描工具717272風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤7272風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤727373召開(kāi)首次會(huì)議在完成全部評(píng)估準(zhǔn)備工作之后，評(píng)估小組就可以按照預(yù)先的計(jì)劃實(shí)施現(xiàn)場(chǎng)評(píng)估了，現(xiàn)場(chǎng)評(píng)估開(kāi)始于首次會(huì)議，評(píng)估小組全體成員和受評(píng)估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。首次會(huì)議由評(píng)估組長(zhǎng)主持，評(píng)估小組要向組織的相關(guān)人員介紹評(píng)估計(jì)劃、具體內(nèi)容、評(píng)估方法，并協(xié)調(diào)、澄清有關(guān)問(wèn)題。召開(kāi)首次會(huì)議時(shí)，與會(huì)者應(yīng)該做好正式記錄。7373召開(kāi)首次會(huì)議在完成全部評(píng)估準(zhǔn)備工作之后，評(píng)估小組737474首次會(huì)議議程及內(nèi)容7474首次會(huì)議議程及內(nèi)容7475風(fēng)險(xiǎn)評(píng)估原則在風(fēng)險(xiǎn)評(píng)估前，需要對(duì)技術(shù)評(píng)估的風(fēng)險(xiǎn)進(jìn)行重審。被評(píng)估方應(yīng)在接受技術(shù)評(píng)估前對(duì)業(yè)務(wù)系統(tǒng)備份。在技術(shù)掃描過(guò)程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險(xiǎn)評(píng)估記錄.在遇到異常情況時(shí)，及時(shí)通知管理員，并且停止評(píng)估。技術(shù)評(píng)估安排在對(duì)系統(tǒng)影響較小的時(shí)間進(jìn)行75風(fēng)險(xiǎn)評(píng)估原則在風(fēng)險(xiǎn)評(píng)估前，需要對(duì)技術(shù)評(píng)估的風(fēng)險(xiǎn)進(jìn)行重757676實(shí)施現(xiàn)場(chǎng)評(píng)估首次會(huì)議之后，即可進(jìn)入現(xiàn)場(chǎng)評(píng)估?，F(xiàn)場(chǎng)評(píng)估按計(jì)劃進(jìn)行，評(píng)估內(nèi)容參照事先準(zhǔn)備好的檢查列表。評(píng)估期間，評(píng)估員應(yīng)該做好筆記和記錄，這些記錄是評(píng)估員提出報(bào)告的真憑實(shí)據(jù)。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來(lái)說(shuō)，內(nèi)審活動(dòng)都應(yīng)該有統(tǒng)一的“現(xiàn)場(chǎng)評(píng)估記錄表”，便于規(guī)范化管理。評(píng)估進(jìn)行到適當(dāng)階段，評(píng)估組長(zhǎng)應(yīng)該主持召開(kāi)評(píng)估小組會(huì)議，借此了解各個(gè)評(píng)估員的工作進(jìn)展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動(dòng)，并對(duì)已獲得的評(píng)估證據(jù)和評(píng)估發(fā)現(xiàn)展開(kāi)分析和討論。7676實(shí)施現(xiàn)場(chǎng)評(píng)估首次會(huì)議之后，即可進(jìn)入現(xiàn)場(chǎng)評(píng)估?，F(xiàn)場(chǎng)767777對(duì)不符合項(xiàng)進(jìn)行描述無(wú)論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng)，評(píng)估員都應(yīng)該將其記錄到不符合項(xiàng)報(bào)告中。不符合項(xiàng)報(bào)告是對(duì)現(xiàn)場(chǎng)評(píng)估得到的評(píng)估發(fā)現(xiàn)進(jìn)行評(píng)審并經(jīng)過(guò)受評(píng)估方確認(rèn)的對(duì)不符合項(xiàng)的陳述，是最終的評(píng)估報(bào)告的一部分，是評(píng)估小組提交給委托方或受評(píng)估方的正式文件。不符合項(xiàng)描述應(yīng)該明確以下內(nèi)容：在哪里發(fā)現(xiàn)的？描述相關(guān)區(qū)域、文件、記錄、設(shè)備發(fā)現(xiàn)了什么？客觀(guān)描述發(fā)現(xiàn)的事實(shí)有誰(shuí)在場(chǎng)？或者和誰(shuí)有關(guān)？描述相關(guān)人員、職位為什么不合格？描述不符合原因，所違背的標(biāo)準(zhǔn)或文件條款在對(duì)不符合項(xiàng)進(jìn)行描述時(shí)，應(yīng)該注意：不符合項(xiàng)描述務(wù)必清楚明白，便于追溯描述語(yǔ)句務(wù)必正規(guī)，采用標(biāo)準(zhǔn)術(shù)語(yǔ)7777對(duì)不符合項(xiàng)進(jìn)行描述無(wú)論是嚴(yán)重不符合項(xiàng)還是輕微不符7778現(xiàn)場(chǎng)工作時(shí)間安排（一）78現(xiàn)場(chǎng)工作時(shí)間安排（一）78現(xiàn)場(chǎng)工作時(shí)間安排（二）現(xiàn)場(chǎng)工作時(shí)間安排（二）798080召開(kāi)評(píng)估小組會(huì)議現(xiàn)場(chǎng)評(píng)估結(jié)束后，末次會(huì)議召開(kāi)之前，評(píng)估小組應(yīng)該召開(kāi)內(nèi)部碰頭會(huì)?；蛘呤窃谡麄€(gè)評(píng)估過(guò)程中，定期（每天結(jié)束時(shí)）召開(kāi)評(píng)估小組碰頭會(huì)同一評(píng)估小組的成員參加會(huì)議期間討論當(dāng)前的評(píng)估結(jié)果溝通評(píng)估信息、線(xiàn)索協(xié)調(diào)評(píng)估方向，控制評(píng)估實(shí)施按計(jì)劃進(jìn)行評(píng)估組長(zhǎng)作評(píng)估總結(jié)準(zhǔn)備。在末次會(huì)議之前的評(píng)估組會(huì)議中，評(píng)估組長(zhǎng)要對(duì)評(píng)估的觀(guān)察結(jié)果作一次匯總分析：從發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析（發(fā)生的部門(mén)、要素、性質(zhì)、類(lèi)型）從技術(shù)漏洞的趨勢(shì)分析（不同業(yè)務(wù)系統(tǒng)的比較）從體系運(yùn)行狀況對(duì)影響情況進(jìn)行分析總結(jié)各項(xiàng)安全措施落實(shí)的優(yōu)缺點(diǎn)8080召開(kāi)評(píng)估小組會(huì)議現(xiàn)場(chǎng)評(píng)估結(jié)束后，末次會(huì)議召開(kāi)之前808181召開(kāi)末次會(huì)議現(xiàn)場(chǎng)評(píng)估之后，評(píng)估組長(zhǎng)應(yīng)該主持召開(kāi)末次會(huì)議，有評(píng)估小組、受評(píng)估方領(lǐng)導(dǎo)和各相關(guān)部門(mén)負(fù)責(zé)人共同參加。末次會(huì)議的任務(wù)在于：向受評(píng)估方介紹評(píng)估的情況；報(bào)告評(píng)估發(fā)現(xiàn)（重大風(fēng)險(xiǎn)點(diǎn)）和評(píng)估結(jié)論；提出后續(xù)工作的建議（糾正措施等）；結(jié)束現(xiàn)場(chǎng)評(píng)估。8181召開(kāi)末次會(huì)議現(xiàn)場(chǎng)評(píng)估之后，評(píng)估組長(zhǎng)應(yīng)該主持召開(kāi)末818282末次會(huì)議議程及內(nèi)容8282末次會(huì)議議程及內(nèi)容82等級(jí)保護(hù)測(cè)評(píng)中的風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析和評(píng)價(jià)安全事件可能性分析安全事件后果分析風(fēng)險(xiǎn)分析和評(píng)價(jià)等級(jí)保護(hù)測(cè)評(píng)中的風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析和評(píng)價(jià)83重點(diǎn)回顧風(fēng)險(xiǎn)評(píng)估基本概念(P5)資產(chǎn)賦值的一般方法(P11-P16)風(fēng)險(xiǎn)分析原理(P23)等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別(P30)風(fēng)險(xiǎn)與投入的平衡(P41)風(fēng)險(xiǎn)評(píng)估流程(P54)等級(jí)保護(hù)測(cè)評(píng)中的風(fēng)險(xiǎn)分析(P80)重點(diǎn)回顧風(fēng)險(xiǎn)評(píng)估基本概念(P5)84信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件859、春去春又回，新桃換舊符。在那桃花盛開(kāi)的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽(yáng)光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。2022/11/222022/11/22Tuesday,November22,202210、人的志向通常和他們的能力成正比例。2022/11/222022/11/222022/11/2211/22/202212:35:54AM11、夫?qū)W須志也，才須學(xué)也，非學(xué)無(wú)以廣才，非志無(wú)以成學(xué)。2022/11/222022/11/222022/11/22Nov-2222-Nov-2212、越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。2022/11/222022/11/222022/11/22Tuesday,November22,202213、志不立，天下無(wú)可成之事。2022/11/222022/11/222022/11/222022/11/2211/22/202214、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。22十一月20222022/11/222022/11/222022/11/2215、會(huì)當(dāng)凌絕頂，一覽眾山小。十一月222022/11/222022/11/222022/11/2211/22/202216、如果一個(gè)人不知道他要駛向哪頭，那么任何風(fēng)都不是順風(fēng)。2022/11/222022/11/2222November202217、一個(gè)人如果不到最高峰，他就沒(méi)有片刻的安寧，他也就不會(huì)感到生命的恬靜和光榮。2022/11/222022/11/222022/11/222022/11/22謝謝觀(guān)看THEEND9、春去春又回，新桃換舊符。在那桃花盛開(kāi)的地方，在這醉人芬芳86信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估87什么是風(fēng)險(xiǎn)評(píng)估？——從深夜一個(gè)回家的女孩開(kāi)始講起……什么是風(fēng)險(xiǎn)評(píng)估？——從深夜一個(gè)回家的女孩開(kāi)始講起……88風(fēng)險(xiǎn)評(píng)估的基本概念風(fēng)險(xiǎn)評(píng)估的基本概念89各安全組件之間的關(guān)系各安全組件之間的關(guān)系90資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢(qián)被偷100塊沒(méi)飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢(qián)被偷100塊沒(méi)飯吃小偷打瞌睡服務(wù)器黑客91風(fēng)險(xiǎn)評(píng)估92風(fēng)險(xiǎn)

風(fēng)險(xiǎn)評(píng)估（RiskAssessment）就是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，它包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)，是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程。概述風(fēng)險(xiǎn)評(píng)估6風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理（RiskManagemen92相關(guān)概念資產(chǎn)（Asset）——任何對(duì)企業(yè)具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對(duì)資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點(diǎn)（Vulnerability）——也被稱(chēng)作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害的潛在可能性?？赡苄裕↙ikelihood）——對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給企業(yè)帶來(lái)的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。相關(guān)概念資產(chǎn)（Asset）——任何對(duì)企業(yè)具有價(jià)值的93風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)影響威脅脆弱性影響威脅脆弱性風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的94資產(chǎn)分類(lèi)方法分類(lèi)示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)、各類(lèi)紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、語(yǔ)句包、開(kāi)發(fā)系統(tǒng)等應(yīng)用軟件:辦公軟件、數(shù)據(jù)庫(kù)軟件、各類(lèi)工具軟件等源程序:各種共享源代碼、自行或合作開(kāi)發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備:路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備:大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等存儲(chǔ)設(shè)備:磁帶機(jī)、磁盤(pán)陣列、磁帶、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)等傳輸線(xiàn)路:光纖、雙絞線(xiàn)等保障設(shè)備:UPS、變電設(shè)備等、空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁、消防設(shè)施等安全保障：防火墻、入侵檢測(cè)系統(tǒng)、身份鑒別等其他:打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等資產(chǎn)分類(lèi)方法分類(lèi)示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括95資產(chǎn)分類(lèi)方法分類(lèi)示例服務(wù)信息服務(wù):對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服務(wù)網(wǎng)絡(luò)服務(wù):各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù):為提高效率而開(kāi)發(fā)的管理信息系統(tǒng),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員,如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象、客戶(hù)關(guān)系等資產(chǎn)分類(lèi)方法分類(lèi)示例服務(wù)信息服務(wù):對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服96資產(chǎn)識(shí)別模型網(wǎng)絡(luò)層機(jī)房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機(jī)設(shè)備軟件OA人員、文檔、制度業(yè)務(wù)層物理層主機(jī)層應(yīng)用層管理層EAI/EIP工程管理物資管理生產(chǎn)管理營(yíng)銷(xiāo)系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機(jī)設(shè)備網(wǎng)絡(luò)設(shè)備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層資產(chǎn)識(shí)別模型網(wǎng)絡(luò)層機(jī)房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機(jī)設(shè)備97資產(chǎn)價(jià)值的評(píng)估資產(chǎn)價(jià)值的評(píng)估98信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護(hù)信息及其處理方法的準(zhǔn)確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY99信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件100信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件101信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件102資產(chǎn)等級(jí)計(jì)算公式AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA資產(chǎn)等級(jí)計(jì)算公式AV=F(AC,AI,AA)103信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件104威脅來(lái)源列表來(lái)源描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠蟻蟲(chóng)害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害,以及軟件、硬件、數(shù)據(jù)、通訊線(xiàn)路等方面的故障人為因素惡意人員不滿(mǎn)的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞;采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改,獲取利益外部人員利用信息系統(tǒng)的脆弱性,對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞,以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心,或者由于不關(guān)心和不專(zhuān)注,或者沒(méi)有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞;內(nèi)部人員由于缺乏培訓(xùn)、專(zhuān)業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。威脅來(lái)源列表來(lái)源描述環(huán)境因素?cái)嚯姟㈧o電、灰塵、潮濕、溫度、鼠105威脅分類(lèi)表威脅分類(lèi)表106信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件107脆弱性識(shí)別內(nèi)容表脆弱性識(shí)別內(nèi)容表108信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件109威脅與脆弱性之間的關(guān)系威脅與脆弱性之間的關(guān)系110風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析原理111定性風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析112風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。一般風(fēng)險(xiǎn)計(jì)算方法：矩陣法和相乘法風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F113矩陣法矩陣法114信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件115風(fēng)險(xiǎn)評(píng)價(jià)示例風(fēng)險(xiǎn)評(píng)價(jià)示例116117確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（ReduceRisk）——采取適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃，等等。避免風(fēng)險(xiǎn)（AvoidRisk）——通過(guò)消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來(lái)避免風(fēng)險(xiǎn)的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來(lái)自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風(fēng)險(xiǎn)（TransferRisk）——將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買(mǎi)商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以有意識(shí)地選擇接受。31確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)（ReduceRisk）—117118評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr＝原有的風(fēng)險(xiǎn)R0－控制ΔR殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程其實(shí)就是風(fēng)險(xiǎn)接受的過(guò)程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。32評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。118等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別目的不同等級(jí)測(cè)評(píng)：以是否符合等級(jí)保護(hù)基本要求為目的照方抓藥風(fēng)險(xiǎn)評(píng)估：以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的對(duì)癥下藥等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別目的不同119等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別參照標(biāo)準(zhǔn)不同等級(jí)測(cè)評(píng)：GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GA/T387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》GA388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》GA391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》…風(fēng)險(xiǎn)評(píng)估：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》…等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別參照標(biāo)準(zhǔn)不同120等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別可以簡(jiǎn)單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)險(xiǎn)評(píng)估是一種針對(duì)性的手段。等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別可以簡(jiǎn)單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)121為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？——該買(mǎi)辣椒水呢還是請(qǐng)保鏢？為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？——該買(mǎi)辣椒水呢還是請(qǐng)保鏢？122什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個(gè)基本問(wèn)題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個(gè)基本123什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理基本問(wèn)題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析124潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析安全決策風(fēng)險(xiǎn)管理兩個(gè)答案的相關(guān)性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析安全決策風(fēng)險(xiǎn)管理兩個(gè)125信息安全的演化信息安全的演化126概念的演化和技術(shù)的演化同步概念的演化和技術(shù)的演化同步127可信是保障概念的延續(xù)可信是保障概念的延續(xù)128信息安全的事實(shí)廣泛安全是一個(gè)廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等），每個(gè)區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。動(dòng)態(tài)相對(duì)絕對(duì)的信息安全是不存在的。信息安全問(wèn)題的解決只能通過(guò)一系列的規(guī)劃和措施，把風(fēng)險(xiǎn)降低到可被接受的程度，同時(shí)采取適當(dāng)?shù)臋C(jī)制使風(fēng)險(xiǎn)保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時(shí)應(yīng)當(dāng)重新規(guī)劃和實(shí)施來(lái)適應(yīng)新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素，同時(shí)也應(yīng)該清醒的認(rèn)識(shí)到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴(lài)于安全產(chǎn)品的堆積來(lái)應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，要從觀(guān)念上進(jìn)行轉(zhuǎn)變，規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個(gè)可持續(xù)的動(dòng)態(tài)發(fā)展的過(guò)程。信息安全的事實(shí)廣泛安全是一個(gè)廣泛的主題，它涉及到許多不同的區(qū)129

安全保障體系建設(shè)安全成本效率

安全-效率曲線(xiàn)

安全-成本曲線(xiàn)要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡，而不是要片面追求不切實(shí)際的安全不同的信息系統(tǒng)，對(duì)于安全的要求不同，不是“越安全越好”安全保障體系建設(shè)安成本安全-效率曲線(xiàn)130信息系統(tǒng)矛盾三角信息系統(tǒng)矛盾三角131三類(lèi)操作系統(tǒng)舉例三類(lèi)操作系統(tǒng)舉例132信息安全保障能力成長(zhǎng)階段成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長(zhǎng)階段成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓133能力成長(zhǎng)階段的劃分盲目自信階段普遍缺乏安全意識(shí)，對(duì)企業(yè)安全狀況不了解，未意識(shí)到信息安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)知階段通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估等，企業(yè)意識(shí)到自身存在的信息安全風(fēng)險(xiǎn)，開(kāi)始采取一些措施提升信息安全水平改進(jìn)階段意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開(kāi)始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系卓越運(yùn)營(yíng)階段信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對(duì)安全風(fēng)險(xiǎn)的變化，不斷提升安全控制能力能力成長(zhǎng)階段的劃分盲目自信階段134各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團(tuán)隊(duì)制定安全方針政策評(píng)估并了解現(xiàn)狀各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越135各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%啟動(dòng)信息安全戰(zhàn)略項(xiàng)目設(shè)計(jì)信息安全架構(gòu)建立信息安全流程完成信息安全改進(jìn)項(xiàng)目各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越136各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營(yíng)階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來(lái)源：GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進(jìn)追蹤技術(shù)和業(yè)務(wù)的變化各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信認(rèn)知階段改進(jìn)階段卓越137怎么做風(fēng)險(xiǎn)評(píng)估？—評(píng)估到底買(mǎi)辣椒水還是請(qǐng)保鏢更合適怎么做風(fēng)險(xiǎn)評(píng)估？—評(píng)估到底買(mǎi)辣椒水還是請(qǐng)保鏢更合適138可能的攻擊信息的價(jià)值可能的損失風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要版可能的攻擊信息的價(jià)值可能的損失風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要版139資產(chǎn)弱點(diǎn)影響弱點(diǎn)威脅可能性+=當(dāng)前的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法示意圖資產(chǎn)弱點(diǎn)影響弱點(diǎn)威脅可能性+=當(dāng)前的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法示意140損失的量化必須圍繞用戶(hù)的核心價(jià)值，用戶(hù)的核心業(yè)務(wù)流程！如何量化損失損失的量化必須圍繞用戶(hù)的核心價(jià)值，用戶(hù)的核心業(yè)務(wù)流程！如何量141風(fēng)險(xiǎn)管理趨勢(shì)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來(lái)源：Gartner風(fēng)險(xiǎn)管理趨勢(shì)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)中最為重要的一個(gè)組成142否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)識(shí)別評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)估結(jié)果記錄評(píng)估結(jié)果文檔…風(fēng)險(xiǎn)評(píng)估流程否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受143等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架保護(hù)對(duì)象劃分和定級(jí)網(wǎng)絡(luò)系統(tǒng)劃分和定級(jí)資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)分析基本安全要求等級(jí)保護(hù)管理辦法、指南信息安全政策、標(biāo)準(zhǔn)、法律法規(guī)安全需求風(fēng)險(xiǎn)列表安全規(guī)劃風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架保護(hù)對(duì)象劃分和定級(jí)網(wǎng)絡(luò)系統(tǒng)劃分和定144結(jié)合等保測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估流程結(jié)合等保測(cè)評(píng)的風(fēng)險(xiǎn)評(píng)估流程145146146風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6060風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤146147147評(píng)估工作各角色的責(zé)任評(píng)估組長(zhǎng)評(píng)估員XX公司安全專(zhuān)責(zé)負(fù)責(zé)管理問(wèn)卷訪(fǎng)談和運(yùn)維問(wèn)卷訪(fǎng)談；組織評(píng)估活動(dòng)，控制協(xié)調(diào)進(jìn)度，保證按計(jì)劃完成評(píng)估任務(wù)；組織召開(kāi)評(píng)估會(huì)議；代表評(píng)估小組與受評(píng)估方管理層接觸；組織撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告、現(xiàn)狀報(bào)告和安全改進(jìn)建議提交評(píng)估報(bào)告。負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估技術(shù)部分的內(nèi)容包括：網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用和數(shù)據(jù)庫(kù)評(píng)估熟悉必要的文件和程序；準(zhǔn)備風(fēng)險(xiǎn)評(píng)估技術(shù)評(píng)估工具；撰寫(xiě)每單位的評(píng)估報(bào)告；配合支持評(píng)估組長(zhǎng)的工作，有效完成評(píng)估任務(wù)；收存和保護(hù)與評(píng)估有關(guān)的文件。負(fù)責(zé)配合顧問(wèn)提供風(fēng)險(xiǎn)評(píng)估相關(guān)的工作環(huán)境、評(píng)估實(shí)現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評(píng)估顧問(wèn)完成資產(chǎn)分類(lèi)、賦值、弱點(diǎn)威脅發(fā)現(xiàn)和賦值、風(fēng)險(xiǎn)處理意見(jiàn)等工作；掌握風(fēng)險(xiǎn)評(píng)估方法；收存和保護(hù)與評(píng)估有關(guān)的文件。完成掃描后,檢查風(fēng)險(xiǎn)評(píng)估后系統(tǒng)的安全性和穩(wěn)定性6161評(píng)估工作各角色的責(zé)任評(píng)估組長(zhǎng)評(píng)估員XX公司安全專(zhuān)責(zé)負(fù)147148148風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6262風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤148149149制定評(píng)估計(jì)劃評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，前者通常是評(píng)估策劃階段就需要完成的，是整個(gè)評(píng)估活動(dòng)的總綱，而具體的評(píng)估實(shí)施計(jì)劃則是遵照年度評(píng)估計(jì)劃而對(duì)每次的評(píng)估活動(dòng)所作的實(shí)施安排。評(píng)估計(jì)劃通常應(yīng)該包含以下內(nèi)容：目的：申明組織實(shí)施內(nèi)部評(píng)估的目標(biāo)。

時(shí)間安排：評(píng)估時(shí)間避免與重要業(yè)務(wù)活動(dòng)發(fā)生沖突。

評(píng)估類(lèi)型：集中方式（本次項(xiàng)目采用集中評(píng)估方式）

其他考慮因素：范圍、評(píng)估組織、評(píng)估要求、特殊情況等。評(píng)估實(shí)施計(jì)劃是對(duì)特定評(píng)估活動(dòng)的具體安排，內(nèi)容通常包括：目的、范圍、準(zhǔn)則、評(píng)估組成員及分工、評(píng)估時(shí)間和地點(diǎn)、首末次會(huì)議及報(bào)告時(shí)間評(píng)估計(jì)劃應(yīng)以文件形式頒發(fā)，評(píng)估實(shí)施計(jì)劃應(yīng)該有評(píng)估組長(zhǎng)簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。6363制定評(píng)估計(jì)劃評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，149150150風(fēng)險(xiǎn)評(píng)估計(jì)劃示例評(píng)估目的評(píng)價(jià)信息安全管理體系運(yùn)行的符合性和有效性評(píng)估范圍××××××××××××××××××評(píng)估準(zhǔn)則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估小組評(píng)估組長(zhǎng)×××評(píng)估組員×××××××××××××××評(píng)估活動(dòng)

時(shí)間負(fù)責(zé)人備注填寫(xiě)信息資產(chǎn)采集表X月上旬×××

實(shí)施風(fēng)險(xiǎn)評(píng)估過(guò)程X月中旬×××

不符合項(xiàng)及高危風(fēng)險(xiǎn)糾正X月末各相關(guān)部門(mén)負(fù)責(zé)人

跟蹤驗(yàn)證X月上旬評(píng)估小組

召開(kāi)風(fēng)險(xiǎn)評(píng)估整改會(huì)議X月下旬信息部領(lǐng)導(dǎo)

編制編寫(xiě)者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××（信息按照專(zhuān)責(zé)簽字）時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部門(mén)領(lǐng)導(dǎo)簽字）時(shí)間×××年×月×日6464風(fēng)險(xiǎn)評(píng)估計(jì)劃示例評(píng)估目的評(píng)價(jià)信息安全管理體系運(yùn)行的符150151151風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例評(píng)估目的對(duì)ISMS進(jìn)行內(nèi)部評(píng)估，為體系糾正提供依據(jù)，為管理評(píng)審提供輸入評(píng)估范圍××××××××××××××評(píng)估準(zhǔn)則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估方式集中式評(píng)估評(píng)估時(shí)間X年X月X－X月X日評(píng)估組織評(píng)估組長(zhǎng)×××評(píng)估組員第一小組×××××××××第二小組×××××××××評(píng)估安排日期時(shí)間評(píng)估區(qū)域評(píng)估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會(huì)議室首次會(huì)議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會(huì)議室評(píng)估小組會(huì)議14:00-15:00會(huì)議室末次會(huì)議編制編寫(xiě)者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××（信息安全專(zhuān)責(zé)簽字）時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部管理者簽字）時(shí)間×××年×月×日6565風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例評(píng)估目的對(duì)ISMS進(jìn)行內(nèi)部評(píng)估，151152152風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤6666風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過(guò)程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤152153153檢查列表的四要素去哪里？找誰(shuí)？查什么？如何查？6767檢查列表的四要素去哪里？找誰(shuí)？查什么？如何查？153154154風(fēng)險(xiǎn)評(píng)估常用方法

技術(shù)評(píng)估：評(píng)估員可以采用各種技術(shù)手段，對(duì)技術(shù)性控制的效力及符合性進(jìn)行評(píng)估。這些技術(shù)性措施包括：自動(dòng)化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測(cè)試等。6868風(fēng)險(xiǎn)評(píng)估常用方法檢查列表：評(píng)估員根據(jù)自己的需要，154155155評(píng)估員檢查工具——檢查列表檢查列表（Checklist）是評(píng)估員進(jìn)行評(píng)估時(shí)必備的自用工具，是評(píng)估前需準(zhǔn)備的一個(gè)重要工作文件。

人人文庫(kù)> 全部分類(lèi)> 教育資料 > 輔導(dǎo)培訓(xùn)

溫馨提示

1. 本站所有資源如無(wú)特殊說(shuō)明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)課件

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

相關(guān)文檔