信息安全與風(fēng)險(xiǎn)管理培訓(xùn)教材課件

信息安全與風(fēng)險(xiǎn)管理信息安全與風(fēng)險(xiǎn)管理1安全管理安全管理主要內(nèi)容及概述安全計(jì)劃是公司的安全管理的核心組成部分，目的是保護(hù)公司財(cái)產(chǎn)。風(fēng)險(xiǎn)分析是確定公司財(cái)產(chǎn)，發(fā)現(xiàn)構(gòu)成威脅的風(fēng)險(xiǎn)并評(píng)估這些危險(xiǎn)變成現(xiàn)實(shí)的時(shí)可能承受的危害和損失，風(fēng)險(xiǎn)分析的結(jié)果幫助管理者采取可行的安全策略，為在公司中發(fā)生的活動(dòng)提供安全方面的指導(dǎo)，說明安全管理在公司安全計(jì)劃中的價(jià)值。安全教育將上面的信息灌輸給公司中的每個(gè)員工，這樣，每一個(gè)人都受到教育，從而能夠更容易的朝著同一個(gè)安全目標(biāo)前進(jìn)。安全管理安全管理主要內(nèi)容及概述安全計(jì)劃是公司的安全管理的核心2安全管理安全管理過程安全管理安全管理過程3安全管理安全管理職責(zé)安全計(jì)劃安全計(jì)劃須包括目標(biāo)、范圍、方針、優(yōu)先級(jí)、標(biāo)準(zhǔn)和策略。資源有人力資源、資本、硬件以及信息等多種形式。安全管理安全管理職責(zé)安全計(jì)劃4安全管理自頂向下的方法安全管理自頂向下的方法5安全管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制：設(shè)施保護(hù)、安全防護(hù)、鎖定、監(jiān)控、環(huán)境控制、入侵檢測(cè)技術(shù)控制：邏輯訪問控制、加密、安全設(shè)備、鑒別和認(rèn)證管理控制：策略、標(biāo)準(zhǔn)、規(guī)程、方針、屏蔽人員、安全意識(shí)培訓(xùn)公司數(shù)據(jù)和財(cái)產(chǎn)安全管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制6安全指標(biāo)安全管理和支持控制安全指標(biāo)安全管理和支持控制7安全管理和支持控制安全的基本原則安全管理和支持控制安全的基本原則8安全定義安全管理和支持控制脆弱性

脆弱性（Vulnerability）是一種軟件、硬件或是過程缺陷，這種缺陷也許會(huì)給攻擊者提供正在尋找的方便之門，這樣他就能夠進(jìn)入某臺(tái)計(jì)算機(jī)或某個(gè)網(wǎng)絡(luò)，并在這個(gè)系統(tǒng)中對(duì)資源進(jìn)行未經(jīng)授權(quán)的訪問。威脅威脅（Threat）是威脅因素利用錯(cuò)若星所造成的損失的潛能或是可能性。暴露暴露（Exposure）是因威脅因素而遭受損失的一個(gè)案例。對(duì)策對(duì)策（countermeasure）或者安全措施，可以減輕潛在的風(fēng)險(xiǎn)。安全措施威脅因素威脅脆弱性風(fēng)險(xiǎn)資產(chǎn)暴露引起利用導(dǎo)致可以破壞并且引起一個(gè)不能夠被預(yù)防，通過直接作用到安全定義安全管理和支持控制脆弱性脆弱性（Vulnerabil9機(jī)構(gòu)安全框架在網(wǎng)絡(luò)中評(píng)估這些概念的正確順序?yàn)椋和{、暴露、脆弱性、對(duì)策，最后為風(fēng)險(xiǎn)。這是因?yàn)椋喝绻哂心撤N威脅（新的SQL攻擊），但是除非你所在公司存在對(duì)應(yīng)的脆弱性（采用必要配置的SQL服務(wù)器），否則公司不會(huì)暴露在威脅之中，這也不會(huì)形成脆弱性。如果環(huán)境中確實(shí)存在脆弱性，就應(yīng)該采取對(duì)應(yīng)策略，以降低風(fēng)險(xiǎn)。安全管理和支持控制機(jī)構(gòu)安全框架在網(wǎng)絡(luò)中評(píng)估這些概念的正確順序?yàn)椋和{、暴露、脆10應(yīng)用概念的順序安全管理和支持控制安全框架總體安全機(jī)密性完整性可用性代價(jià)合理的解決方案安全措施對(duì)策法律責(zé)任安全意識(shí)系統(tǒng)可靠性策略和規(guī)程保護(hù)需求數(shù)據(jù)分級(jí)功能性評(píng)價(jià)定量和定性風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析定義風(fēng)險(xiǎn)和威脅完整性完整性業(yè)務(wù)對(duì)象應(yīng)用概念的順序安全管理和支持控制安全框架總體安全機(jī)密性完整性11安全規(guī)劃安全管理和支持控制日常目標(biāo)或操作目標(biāo)都集中在工作效率和面向任務(wù)的活動(dòng)和說那個(gè)，這樣才能保證公司的功能能夠以一種平順而且可以預(yù)見的方式實(shí)現(xiàn)。中期目標(biāo)或戰(zhàn)術(shù)目標(biāo)，可能是將所有的工作站和資源都整合到一個(gè)地方，這樣就可以實(shí)現(xiàn)集中控制。長(zhǎng)期目標(biāo)，或戰(zhàn)略目標(biāo)，可能會(huì)涉及到如下活動(dòng)；將所有部門從專用通信線路轉(zhuǎn)移到幀中繼方式，為所有的遠(yuǎn)程用戶轉(zhuǎn)杯IPsec虛擬專用網(wǎng)；（VPN）以代替撥號(hào)方式，向系統(tǒng)中整個(gè)帶有必要安全措施是的無線技術(shù)。安全規(guī)劃安全管理和支持控制日常目標(biāo)或操作目標(biāo)都集中在工作效率12安全框架-Cobit安全管理和支持控制安全框架-Cobit安全管理和支持控制13安全框架——COSO安全管理和支持控制控制活動(dòng)確保管理活動(dòng)付諸實(shí)施的政策/流程。措施包括審批、授權(quán)、確認(rèn)、建議、業(yè)績(jī)考核、資產(chǎn)安全和職責(zé)分離。監(jiān)督不斷評(píng)估內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實(shí)時(shí)和獨(dú)立的評(píng)估。管理層和監(jiān)督活動(dòng)。

內(nèi)部審計(jì)工作。控制環(huán)境營(yíng)造單位氣氛－讓公司員工建立內(nèi)部控制因素包括正直，道德價(jià)值，能力，權(quán)威和責(zé)任是其他內(nèi)部控制組成部分的基礎(chǔ)信息和溝通及時(shí)地獲取，確定并交流相關(guān)的信息從內(nèi)部和外部獲取信息使得形成從職責(zé)方面的指示到管理層有關(guān)管理行動(dòng)的發(fā)現(xiàn)總結(jié)等各方面各類內(nèi)部控制成功的措施的信息流風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是為了達(dá)到企業(yè)目標(biāo)而確認(rèn)和分析相關(guān)的風(fēng)險(xiǎn)-形成內(nèi)部控制活動(dòng)的基礎(chǔ)所有的五個(gè)部分必須同時(shí)作用才能使內(nèi)部控制得以產(chǎn)生影響

監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境營(yíng)運(yùn)財(cái)務(wù)報(bào)告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動(dòng)2活動(dòng)1監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境營(yíng)運(yùn)財(cái)務(wù)報(bào)告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動(dòng)2活動(dòng)1coso是一個(gè)企業(yè)治理模型，而Cobit是一個(gè)IT治理模型。coso更多面向策略層面，而Cobit則更關(guān)注運(yùn)營(yíng)層面。Cobit可以看作是滿足許多coso目標(biāo)的一種方法，但只能從it角度來看，因?yàn)閏oso還處理非IT項(xiàng)目，如公司文化、財(cái)務(wù)會(huì)計(jì)原則、董事會(huì)責(zé)任和內(nèi)部通信結(jié)構(gòu)。安全框架——COSO安全管理和支持控制控制活動(dòng)監(jiān)督控制環(huán)境14安全框架——ISO17799安全管理和支持控制ISO17799時(shí)最常用的標(biāo)準(zhǔn)，它由正式標(biāo)準(zhǔn)——英國(guó)標(biāo)準(zhǔn)7799（BS7799）發(fā)展而來。這個(gè)是一個(gè)世界公認(rèn)的信息安全管理標(biāo)準(zhǔn)，他為企業(yè)安全提供高級(jí)概念化建議。它由兩部分構(gòu)成；第一部分是一個(gè)執(zhí)行指導(dǎo)，由如何建立一個(gè)綜合性的信息安全結(jié)構(gòu)體系的指導(dǎo)方針組成；第二部分是一個(gè)審計(jì)指導(dǎo)，說明一個(gè)遵守ISO17799的組織必須滿足的要求。安全框架——ISO17799安全管理和支持控制ISO177915安全框架——ITIL安全管理和支持控制服務(wù)設(shè)計(jì)服務(wù)戰(zhàn)略服務(wù)轉(zhuǎn)換服務(wù)運(yùn)營(yíng)產(chǎn)生財(cái)務(wù)投資組合需求服務(wù)目錄服務(wù)級(jí)別可用性連續(xù)性供應(yīng)商度量趨勢(shì)分析報(bào)告改進(jìn)事件(Event)事故(Incident)問題技術(shù)訪問變更資產(chǎn)&配置發(fā)布和部署有效性變更資產(chǎn)&配置安全框架——ITIL安全管理和支持控制服務(wù)設(shè)計(jì)服務(wù)戰(zhàn)略服務(wù)轉(zhuǎn)16安全框架——小結(jié)安全管理和支持控制Cobit和COSO提供“要實(shí)現(xiàn)什么”，而不是“如何實(shí)現(xiàn)它”，這就是ITIL和ISO17799存在的原因。要實(shí)現(xiàn)什么CobitCOSOISO17799ITIL如何實(shí)現(xiàn)它安全框架——小結(jié)安全管理和支持控制Cobit和COSO提供“17安全管理安全治理安全治理（SecurityGovernance）在本質(zhì)上非常類似于企業(yè)的IT治理，因?yàn)檫@三者在功能和目標(biāo)上有重疊的地方。所有這三種治理都在公司的組織結(jié)構(gòu)內(nèi)進(jìn)行，而且都以輔助確保公司的生存和發(fā)展為目標(biāo)——只是側(cè)重點(diǎn)不同。IT治理學(xué)院在《董事會(huì)參考之IT治理簡(jiǎn)介》第二版中對(duì)安全治理的定義?！爸卫硎嵌聲?huì)和執(zhí)行管理層履行的一組責(zé)任和實(shí)踐，其目標(biāo)在于提供策略指導(dǎo)，確保目標(biāo)得以實(shí)現(xiàn)，封信啊得到適當(dāng)管理，并證明切葉的資源得到合理的利用?！边@個(gè)定義完全正確，但它仍然非常抽象，這更像一個(gè)策略性政策聲明，然而真正的技巧是正確解釋并將他轉(zhuǎn)化成有意義的戰(zhàn)術(shù)、運(yùn)作職能和實(shí)踐。對(duì)于安全治理而言，必須有什么東西的到治理。一個(gè)組織必須執(zhí)行的所有控制共同成為安全計(jì)劃安全管理安全治理安全治理（SecurityGovernan18安全管理制定安全計(jì)劃安全計(jì)劃是一個(gè)永不終止的生命周期；安全管理制定安全計(jì)劃安全計(jì)劃是一個(gè)永不終止的生命周期；19安全管理實(shí)施分配任務(wù)和責(zé)任指定和實(shí)施安全策略、規(guī)程、標(biāo)準(zhǔn)、基線和指導(dǎo)。確定靜態(tài)和動(dòng)態(tài)敏感數(shù)據(jù)。實(shí)施以下藍(lán)圖（Blueprint）資產(chǎn)確定和管理風(fēng)險(xiǎn)管理脆弱性管理法規(guī)遵從身份管理和訪問控制變更控制軟件開發(fā)聲明周期業(yè)務(wù)連貫性規(guī)劃意識(shí)和培訓(xùn)物理安全事故響應(yīng)實(shí)施每個(gè)藍(lán)圖的解決方案（管理、技術(shù)、物理的）。開發(fā)每個(gè)藍(lán)圖的審計(jì)和監(jiān)控解決方案確定每個(gè)藍(lán)圖的目標(biāo)、服務(wù)等級(jí)協(xié)議（SLA）和標(biāo)準(zhǔn)。計(jì)劃和組織計(jì)劃和組織確定管理承諾成立監(jiān)督指導(dǎo)委員會(huì)評(píng)估業(yè)務(wù)推動(dòng)力了解組織威脅概況進(jìn)行風(fēng)險(xiǎn)評(píng)估在組織、應(yīng)用軟件、網(wǎng)絡(luò)和組建鞥開發(fā)安全體系結(jié)構(gòu)。確定每個(gè)體系結(jié)構(gòu)層面的解決方案獲得管理層的批準(zhǔn)，以繼續(xù)向前運(yùn)作和維護(hù)遵循規(guī)程，確保所有極限在每個(gè)實(shí)施的藍(lán)圖中的到滿足執(zhí)行內(nèi)部和外部審計(jì)執(zhí)行每個(gè)藍(lán)圖中列出的任務(wù)管理每個(gè)藍(lán)圖的服務(wù)等級(jí)協(xié)議監(jiān)控和評(píng)估每個(gè)藍(lán)圖的核查日志、審計(jì)結(jié)果、收集的標(biāo)準(zhǔn)值和SLA評(píng)估每個(gè)藍(lán)圖的目標(biāo)完成情況每季與指導(dǎo)委員會(huì)舉行會(huì)議確定改進(jìn)步驟，并將其整合到“計(jì)劃和組織”階段安全管理實(shí)施計(jì)劃和組織計(jì)劃和組織運(yùn)作和維護(hù)監(jiān)控和評(píng)估20安全管理安全框架藍(lán)圖安全管理安全框架藍(lán)圖21安全管理商業(yè)需求安全管理商業(yè)需求22信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是指破壞發(fā)生的可能性，以及破壞發(fā)生后的衍生情況。信息風(fēng)險(xiǎn)管理（InformationRiskManagement，IRM）指識(shí)別并評(píng)估風(fēng)險(xiǎn)、將它降低到可接受的水平、執(zhí)行正確的機(jī)制來維持這種水平的過程。關(guān)鍵是在于識(shí)別這些威脅，估計(jì)他們實(shí)際發(fā)生的可能性以及他們可能造成的破壞，并采取恰當(dāng)?shù)拇胧瑢h(huán)境的總體風(fēng)險(xiǎn)降低到組織認(rèn)為可以接受的水平。風(fēng)險(xiǎn)管理概述信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是指破壞發(fā)生的可能性，以及破壞發(fā)生后的衍生情23信息風(fēng)險(xiǎn)管理策略IRM策略為企業(yè)的風(fēng)險(xiǎn)管理過程及步驟提供基礎(chǔ)架構(gòu)，應(yīng)解決包括人員選拔、內(nèi)部威脅、物理安全與防火墻在內(nèi)的一切信息安全問題。同時(shí)，它還應(yīng)為IRM團(tuán)隊(duì)如何向高級(jí)管理層通報(bào)公司風(fēng)險(xiǎn)信息，以及如何執(zhí)行管理層的風(fēng)險(xiǎn)弱化策略提供指導(dǎo)。恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理需要高級(jí)管理層的鑒定承諾以及一個(gè)文本化流程，這個(gè)過程為機(jī)構(gòu)的使命、IRM策略和委任的IRM團(tuán)隊(duì)提供支持。信息風(fēng)險(xiǎn)管理信息風(fēng)險(xiǎn)管理策略IRM策略為企業(yè)的風(fēng)險(xiǎn)管理過程及步驟提供基礎(chǔ)24風(fēng)險(xiǎn)管理團(tuán)隊(duì)完成目標(biāo)的必要的條件獲得高級(jí)管理層的支持，從而對(duì)資源進(jìn)行合理的調(diào)配。這個(gè)團(tuán)隊(duì)也需要一個(gè)領(lǐng)導(dǎo)，在大型組織內(nèi)，這名成員應(yīng)用50%～70%的時(shí)間來處理風(fēng)險(xiǎn)管理工作。管理層必須投入資金對(duì)此人進(jìn)行必要的培訓(xùn)。為其提供風(fēng)險(xiǎn)工具，以確保風(fēng)險(xiǎn)管理工作的順利進(jìn)行。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理團(tuán)隊(duì)完成目標(biāo)的必要的條件信息風(fēng)險(xiǎn)管理25風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析提供了一種成本/收益比，也就是用來保護(hù)公司免收威脅安全措施的費(fèi)用和預(yù)料中的損失所需要的代價(jià)之間的比值。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析提供了一種成本/收益比，也就是用來保護(hù)公司免26風(fēng)險(xiǎn)分析團(tuán)隊(duì)要實(shí)現(xiàn)最有效的風(fēng)險(xiǎn)分析，就需要建立一個(gè)團(tuán)隊(duì)，這個(gè)團(tuán)隊(duì)的成員可以是管理人員、應(yīng)用程序員、IT人員、審計(jì)員、系統(tǒng)及成員或者運(yùn)行部經(jīng)理，這個(gè)是必需的。樣所有的風(fēng)險(xiǎn)才能被充分了解和量化。通過進(jìn)行內(nèi)部調(diào)查、訪問或舉辦研討會(huì)。可以收集到許多類似的信息。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析團(tuán)隊(duì)要實(shí)現(xiàn)最有效的風(fēng)險(xiǎn)分析，就需要建立一個(gè)團(tuán)隊(duì)，這個(gè)27信息風(fēng)險(xiǎn)管理資產(chǎn)價(jià)值資產(chǎn)可以被賦予定量和定性的度量，不過這些度量方法應(yīng)該有根有據(jù)。采取什么安全機(jī)制和應(yīng)該花費(fèi)多少資金來進(jìn)行保護(hù)工作的第一步。確定一項(xiàng)資產(chǎn)的價(jià)值，還能夠完成一個(gè)公司的其他若該需求，包括下面這些。進(jìn)行有效的成本/收益分析選擇特定的對(duì)策和安全措施決定保險(xiǎn)責(zé)任范圍了解什么東西正在面臨風(fēng)險(xiǎn)資產(chǎn)包括有形資產(chǎn)（計(jì)算機(jī)、設(shè)施、供給品）或無形資產(chǎn)（聲譽(yù)、數(shù)據(jù)、知識(shí)產(chǎn)權(quán)）。由于無形資產(chǎn)的價(jià)值會(huì)隨著時(shí)間而變化，所以很難對(duì)其進(jìn)行量化。信息風(fēng)險(xiǎn)管理資產(chǎn)價(jià)值資產(chǎn)可以被賦予定量和定性的度量，不過這些28信息風(fēng)險(xiǎn)管理威脅和脆弱性的關(guān)系威脅因素可能利用的脆弱性導(dǎo)致的威脅病毒缺少反病毒軟件病毒感染黑客服務(wù)器上運(yùn)行功能強(qiáng)大的服務(wù)對(duì)保密信息的非授權(quán)訪問用戶操作系統(tǒng)中配置錯(cuò)誤的參數(shù)系統(tǒng)故障火災(zāi)缺少滅火器材設(shè)施和計(jì)算機(jī)損失，可能造成生命損害雇員松懈的訪問控制；缺少審計(jì)損壞重要的關(guān)鍵信息；在數(shù)據(jù)處理應(yīng)用程序中更改輸入輸出承包人松懈的訪問控制機(jī)制盜竊商業(yè)機(jī)密攻擊者寫的很差的應(yīng)用程序；缺少嚴(yán)格的防火墻設(shè)置造成緩沖區(qū)溢出；進(jìn)行拒絕服務(wù)攻擊入侵者缺少安全警衛(wèi)打破窗戶，盜竊計(jì)算機(jī)和設(shè)備信息風(fēng)險(xiǎn)管理威脅和脆弱性的關(guān)系威脅因素可能利用的脆弱性導(dǎo)致的29識(shí)別威脅信息風(fēng)險(xiǎn)管理識(shí)別威脅信息風(fēng)險(xiǎn)管理30風(fēng)險(xiǎn)分析常見方法信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析常見方法信息風(fēng)險(xiǎn)管理31定量風(fēng)險(xiǎn)方法信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)方法信息風(fēng)險(xiǎn)管理32安全管理風(fēng)險(xiǎn)分析的步驟資產(chǎn)的價(jià)值是多少。維護(hù)需要多少成本。資產(chǎn)的收益。對(duì)于競(jìng)爭(zhēng)對(duì)手來說，他的價(jià)值是多少。重建和修復(fù)該資產(chǎn)需要多少費(fèi)用。獲取和開發(fā)該資產(chǎn)需要多少費(fèi)用。資產(chǎn)損失，你要負(fù)多大的責(zé)任。會(huì)造成什么物理?yè)p失，這樣帶來多大的成本。生產(chǎn)力損失多少，這會(huì)帶來多大的成本？如果保密信息被泄露，損失多少?；謴?fù)過來的成本是多少。關(guān)鍵的設(shè)備出故障，會(huì)帶來?yè)p失。對(duì)每項(xiàng)風(fēng)險(xiǎn)和設(shè)施的事故計(jì)算單次損失期望值（SLE）。從每個(gè)部門的人員那里手機(jī)有關(guān)每種風(fēng)險(xiǎn)發(fā)生可能性的信息。檢查過去的記錄以及提供數(shù)據(jù)的官方安全資源。計(jì)算年發(fā)生概率（ARO），也就是每種威脅在一年中可能發(fā)生的次數(shù)將潛在損失和可能性綜合起來使用前3部中計(jì)算得到的信息，對(duì)每種威脅計(jì)算年損失期望值（ALE）為抵消每項(xiàng)風(fēng)險(xiǎn)選擇補(bǔ)救措施為每項(xiàng)措施計(jì)算成本/收益值減小風(fēng)險(xiǎn)分擔(dān)風(fēng)險(xiǎn)：買保險(xiǎn)從而將部分或全部風(fēng)險(xiǎn)轉(zhuǎn)移接受風(fēng)險(xiǎn)：讓分線存在，不花錢采取保護(hù)措施避免風(fēng)險(xiǎn)：終端危險(xiǎn)的操作安全管理風(fēng)險(xiǎn)分析的步驟資產(chǎn)的價(jià)值是多少。會(huì)造成什么物理?yè)p失，33定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念信息風(fēng)險(xiǎn)管理34定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念風(fēng)險(xiǎn)分析方法是定性分析，這種方法不對(duì)各個(gè)要素和損失賦予數(shù)值和貨幣價(jià)值。定性分析技術(shù)包括判斷、直覺和經(jīng)驗(yàn)。定性分析技術(shù)的例子有Delphi、頭腦風(fēng)暴、情節(jié)串聯(lián)、焦點(diǎn)群體、調(diào)查、問卷、檢查表、一對(duì)一會(huì)談以及采訪。風(fēng)險(xiǎn)分析團(tuán)隊(duì)撰寫了一頁(yè)概況，說明黑客攻擊公司內(nèi)部5太文件服務(wù)器訪問呢保密信息的情況，并將它發(fā)給了預(yù)先選定的一個(gè)五人小組（IT經(jīng)理、數(shù)據(jù)庫(kù)管理員、應(yīng)用程序員、系統(tǒng)操作員和運(yùn)行部經(jīng)理）。這個(gè)預(yù)先選定的團(tuán)隊(duì)對(duì)威脅的嚴(yán)重程度、潛在損失和每種安全措施的有效性，用1～5的等級(jí)進(jìn)行排序，1代表最不嚴(yán)重、最不有效或最不可能。威脅=黑客訪問保密信息威脅的嚴(yán)重性威脅發(fā)生的可能性給公司造成的潛在損失防火墻的有效性入侵檢測(cè)系統(tǒng)的有效性蜜罐的有效性IT經(jīng)理424432數(shù)據(jù)庫(kù)管理員444341應(yīng)用程序員233421系統(tǒng)操作員343421運(yùn)行部經(jīng)理544442結(jié)果3.63.43.63.831.4信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念風(fēng)險(xiǎn)分析方法是定性分析，這種方法不對(duì)各35屬性定量的定性的不需要計(jì)算

×需要更多的復(fù)雜計(jì)算×

設(shè)計(jì)大量猜想工作

×提供一般風(fēng)險(xiǎn)領(lǐng)域和指標(biāo)

×更容易自動(dòng)化評(píng)估×

用于風(fēng)險(xiǎn)管理性能追蹤×

提供可信的成本/收益分析×

使用可驗(yàn)證而客觀的標(biāo)準(zhǔn)×

提供了那些非常清楚這個(gè)過程的職員的意見

×指出了可能在一年之內(nèi)招致的明確損失×

定量VS.定性定量方法缺點(diǎn)評(píng)估方法及結(jié)果相對(duì)主觀無法為成本/收益分析建立貨幣價(jià)值用主觀方法很難追蹤風(fēng)險(xiǎn)管理目標(biāo)沒有相應(yīng)的標(biāo)準(zhǔn)。每個(gè)供應(yīng)商解釋器評(píng)估過程和結(jié)果的方式各不相同定性方法缺點(diǎn)計(jì)算更加復(fù)雜。管理層能夠理解這些結(jié)果是怎么計(jì)算出來的嗎？沒有自動(dòng)化的工具可供利用，這個(gè)過程完全需要手動(dòng)完成需要做大量的基礎(chǔ)性工作，手機(jī)與環(huán)境有關(guān)的詳細(xì)信息沒有相應(yīng)的標(biāo)準(zhǔn)。每個(gè)供應(yīng)商解釋其評(píng)估過程和結(jié)果的方式各不相同。信息風(fēng)險(xiǎn)管理屬性定量的定性的不需要計(jì)算

×需要更多的復(fù)雜計(jì)算×

設(shè)計(jì)大量36保護(hù)機(jī)制信息風(fēng)險(xiǎn)管理確定風(fēng)險(xiǎn)分析的計(jì)算后，下一步是確定現(xiàn)行的安全機(jī)制并評(píng)估他們的效果。安全措施使用的成本/收益計(jì)算公式為：（實(shí)行安全措施之前的ALE）-（實(shí)行安全措施之后的ALE）-（安全措施每年的費(fèi)用）=安全措施對(duì)公司的價(jià)值保護(hù)機(jī)制信息風(fēng)險(xiǎn)管理確定風(fēng)險(xiǎn)分析的計(jì)算后，下一步是確定現(xiàn)行的37基礎(chǔ)模塊提供統(tǒng)一的保護(hù)提供否決功能默認(rèn)為最小優(yōu)先級(jí)安全措施及其保護(hù)的資產(chǎn)相互獨(dú)立適應(yīng)性和功能用戶交互用戶和管理員之間的清楚界限最少的人為干預(yù)資產(chǎn)保護(hù)容易升級(jí)審計(jì)功能最小化對(duì)其他組件的依賴性容易被職員使用和接受，并能容忍錯(cuò)誤必須產(chǎn)生可用和可以理解的輸出必須能夠重啟安全措施可檢測(cè)不引入其他危害系統(tǒng)和用戶效能普遍應(yīng)用恰當(dāng)?shù)木娌挥绊戀Y產(chǎn)安全措施采購(gòu)考慮因素信息風(fēng)險(xiǎn)管理基礎(chǔ)模塊最小化對(duì)其他組件的依賴性安全措施采購(gòu)考慮因素信息風(fēng)險(xiǎn)38第1步第2步第3部指派資產(chǎn)和信息價(jià)值風(fēng)險(xiǎn)分析和評(píng)估選擇和實(shí)施防護(hù)措施要進(jìn)行一項(xiàng)風(fēng)險(xiǎn)分析，公司就因該決定應(yīng)該保護(hù)那些財(cái)產(chǎn)以及保護(hù)的程度如何。還應(yīng)該說明保護(hù)具體的財(cái)產(chǎn)所需的錢數(shù)。應(yīng)該評(píng)估依稀可用安全措施的功能，確定那些安全措施對(duì)環(huán)境最有力。然后評(píng)估一下安全差距、成本，并作出比較。這些步驟和結(jié)果信息能夠保證管理人員的選擇和購(gòu)買防護(hù)措施最初最明智和最有遠(yuǎn)見的決定。綜合考慮信息風(fēng)險(xiǎn)管理第1步第2步第3部指派資產(chǎn)和信息價(jià)值風(fēng)險(xiǎn)分析和評(píng)估選擇和實(shí)施39信息風(fēng)險(xiǎn)管理總風(fēng)險(xiǎn)VS.剩余風(fēng)險(xiǎn)信息風(fēng)險(xiǎn)管理總風(fēng)險(xiǎn)VS.剩余風(fēng)險(xiǎn)40安全管理成立團(tuán)隊(duì)確定范圍確定方法確定工具了解可接受的風(fēng)險(xiǎn)等級(jí)確定資產(chǎn)分配資產(chǎn)的價(jià)值確定脆弱性和威脅計(jì)算風(fēng)險(xiǎn)成本/收益分析不確定性分析計(jì)劃收集信息定義建議減輕風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)管理減輕風(fēng)險(xiǎn)選擇控制方法實(shí)施監(jiān)控轉(zhuǎn)移風(fēng)險(xiǎn)購(gòu)買保險(xiǎn)接受風(fēng)險(xiǎn)什么也不做規(guī)避風(fēng)險(xiǎn)停止活動(dòng)風(fēng)險(xiǎn)管理計(jì)劃風(fēng)險(xiǎn)處理方法安全管理成立團(tuán)隊(duì)確定資產(chǎn)計(jì)劃收集信息定義建議減輕風(fēng)險(xiǎn)管理減輕41策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述一個(gè)安全計(jì)劃包含為公司提供全面保護(hù)和長(zhǎng)遠(yuǎn)安全策略必需的所有條款。一個(gè)安全計(jì)劃應(yīng)該具有安全策略、規(guī)程、標(biāo)準(zhǔn)、方針、基線和安全意識(shí)培訓(xùn)、意外處理以及遵守程序。人力資源部和法律部門應(yīng)該加入到開發(fā)和加強(qiáng)這些問題的活動(dòng)中來。策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述一個(gè)安全計(jì)劃包含為公司提供全42策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針概述43策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針44策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針45策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針46策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針47策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針48策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針49策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針50策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針51策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針52策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針53策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針54策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針55策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針56策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針策略、規(guī)程、標(biāo)準(zhǔn)、基線和方針57安全管理安全管理58安全管理安全管理59安全管理安全管理60安全管理安全管理61安全管理安全管理62安全管理安全管理63安全管理安全管理64安全管理安全管理65安全管理安全管理66安全管理安全管理67安全管理安全管理68安全管理安全管理69安全管理安全管理70安全管理安全管理71安全管理安全管理72安全管理安全管理73安全管理安全管理74安全管理安全管理75安全管理安全管理76安全管理安全管理77安全管理安全管理78安全管理安全管理79安全管理安全管理80安全管理安全管理81安全管理安全管理82安全管理安全管理83安全管理安全管理84安全管理安全管理85安全管理安全管理86安全管理安全管理87安全管理安全管理88安全管理安全管理89安全管理安全管理90安全管理安全管理91安全管理安全管理92安全管理安全管理93安全管理安全管理94安全管理安全管理95安全管理安全管理96安全管理安全管理97安全管理安全管理98安全管理安全管理99安全管理安全管理100安全管理安全管理101安全管理安全管理102安全管理安全管理103安全管理安全管理104安全管理安全管理105演講完畢，謝謝觀看！演講完畢，謝謝觀看！106信息安全與風(fēng)險(xiǎn)管理信息安全與風(fēng)險(xiǎn)管理107安全管理安全管理主要內(nèi)容及概述安全計(jì)劃是公司的安全管理的核心組成部分，目的是保護(hù)公司財(cái)產(chǎn)。風(fēng)險(xiǎn)分析是確定公司財(cái)產(chǎn)，發(fā)現(xiàn)構(gòu)成威脅的風(fēng)險(xiǎn)并評(píng)估這些危險(xiǎn)變成現(xiàn)實(shí)的時(shí)可能承受的危害和損失，風(fēng)險(xiǎn)分析的結(jié)果幫助管理者采取可行的安全策略，為在公司中發(fā)生的活動(dòng)提供安全方面的指導(dǎo)，說明安全管理在公司安全計(jì)劃中的價(jià)值。安全教育將上面的信息灌輸給公司中的每個(gè)員工，這樣，每一個(gè)人都受到教育，從而能夠更容易的朝著同一個(gè)安全目標(biāo)前進(jìn)。安全管理安全管理主要內(nèi)容及概述安全計(jì)劃是公司的安全管理的核心108安全管理安全管理過程安全管理安全管理過程109安全管理安全管理職責(zé)安全計(jì)劃安全計(jì)劃須包括目標(biāo)、范圍、方針、優(yōu)先級(jí)、標(biāo)準(zhǔn)和策略。資源有人力資源、資本、硬件以及信息等多種形式。安全管理安全管理職責(zé)安全計(jì)劃110安全管理自頂向下的方法安全管理自頂向下的方法111安全管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制：設(shè)施保護(hù)、安全防護(hù)、鎖定、監(jiān)控、環(huán)境控制、入侵檢測(cè)技術(shù)控制：邏輯訪問控制、加密、安全設(shè)備、鑒別和認(rèn)證管理控制：策略、標(biāo)準(zhǔn)、規(guī)程、方針、屏蔽人員、安全意識(shí)培訓(xùn)公司數(shù)據(jù)和財(cái)產(chǎn)安全管理和支持控制管理的、技術(shù)的和物理的控制相互協(xié)作物理控制112安全指標(biāo)安全管理和支持控制安全指標(biāo)安全管理和支持控制113安全管理和支持控制安全的基本原則安全管理和支持控制安全的基本原則114安全定義安全管理和支持控制脆弱性

脆弱性（Vulnerability）是一種軟件、硬件或是過程缺陷，這種缺陷也許會(huì)給攻擊者提供正在尋找的方便之門，這樣他就能夠進(jìn)入某臺(tái)計(jì)算機(jī)或某個(gè)網(wǎng)絡(luò)，并在這個(gè)系統(tǒng)中對(duì)資源進(jìn)行未經(jīng)授權(quán)的訪問。威脅威脅（Threat）是威脅因素利用錯(cuò)若星所造成的損失的潛能或是可能性。暴露暴露（Exposure）是因威脅因素而遭受損失的一個(gè)案例。對(duì)策對(duì)策（countermeasure）或者安全措施，可以減輕潛在的風(fēng)險(xiǎn)。安全措施威脅因素威脅脆弱性風(fēng)險(xiǎn)資產(chǎn)暴露引起利用導(dǎo)致可以破壞并且引起一個(gè)不能夠被預(yù)防，通過直接作用到安全定義安全管理和支持控制脆弱性脆弱性（Vulnerabil115機(jī)構(gòu)安全框架在網(wǎng)絡(luò)中評(píng)估這些概念的正確順序?yàn)椋和{、暴露、脆弱性、對(duì)策，最后為風(fēng)險(xiǎn)。這是因?yàn)椋喝绻哂心撤N威脅（新的SQL攻擊），但是除非你所在公司存在對(duì)應(yīng)的脆弱性（采用必要配置的SQL服務(wù)器），否則公司不會(huì)暴露在威脅之中，這也不會(huì)形成脆弱性。如果環(huán)境中確實(shí)存在脆弱性，就應(yīng)該采取對(duì)應(yīng)策略，以降低風(fēng)險(xiǎn)。安全管理和支持控制機(jī)構(gòu)安全框架在網(wǎng)絡(luò)中評(píng)估這些概念的正確順序?yàn)椋和{、暴露、脆116應(yīng)用概念的順序安全管理和支持控制安全框架總體安全機(jī)密性完整性可用性代價(jià)合理的解決方案安全措施對(duì)策法律責(zé)任安全意識(shí)系統(tǒng)可靠性策略和規(guī)程保護(hù)需求數(shù)據(jù)分級(jí)功能性評(píng)價(jià)定量和定性風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析定義風(fēng)險(xiǎn)和威脅完整性完整性業(yè)務(wù)對(duì)象應(yīng)用概念的順序安全管理和支持控制安全框架總體安全機(jī)密性完整性117安全規(guī)劃安全管理和支持控制日常目標(biāo)或操作目標(biāo)都集中在工作效率和面向任務(wù)的活動(dòng)和說那個(gè)，這樣才能保證公司的功能能夠以一種平順而且可以預(yù)見的方式實(shí)現(xiàn)。中期目標(biāo)或戰(zhàn)術(shù)目標(biāo)，可能是將所有的工作站和資源都整合到一個(gè)地方，這樣就可以實(shí)現(xiàn)集中控制。長(zhǎng)期目標(biāo)，或戰(zhàn)略目標(biāo)，可能會(huì)涉及到如下活動(dòng)；將所有部門從專用通信線路轉(zhuǎn)移到幀中繼方式，為所有的遠(yuǎn)程用戶轉(zhuǎn)杯IPsec虛擬專用網(wǎng)；（VPN）以代替撥號(hào)方式，向系統(tǒng)中整個(gè)帶有必要安全措施是的無線技術(shù)。安全規(guī)劃安全管理和支持控制日常目標(biāo)或操作目標(biāo)都集中在工作效率118安全框架-Cobit安全管理和支持控制安全框架-Cobit安全管理和支持控制119安全框架——COSO安全管理和支持控制控制活動(dòng)確保管理活動(dòng)付諸實(shí)施的政策/流程。措施包括審批、授權(quán)、確認(rèn)、建議、業(yè)績(jī)考核、資產(chǎn)安全和職責(zé)分離。監(jiān)督不斷評(píng)估內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實(shí)時(shí)和獨(dú)立的評(píng)估。管理層和監(jiān)督活動(dòng)。

內(nèi)部審計(jì)工作?？刂骗h(huán)境營(yíng)造單位氣氛－讓公司員工建立內(nèi)部控制因素包括正直，道德價(jià)值，能力，權(quán)威和責(zé)任是其他內(nèi)部控制組成部分的基礎(chǔ)信息和溝通及時(shí)地獲取，確定并交流相關(guān)的信息從內(nèi)部和外部獲取信息使得形成從職責(zé)方面的指示到管理層有關(guān)管理行動(dòng)的發(fā)現(xiàn)總結(jié)等各方面各類內(nèi)部控制成功的措施的信息流風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是為了達(dá)到企業(yè)目標(biāo)而確認(rèn)和分析相關(guān)的風(fēng)險(xiǎn)-形成內(nèi)部控制活動(dòng)的基礎(chǔ)所有的五個(gè)部分必須同時(shí)作用才能使內(nèi)部控制得以產(chǎn)生影響

監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境營(yíng)運(yùn)財(cái)務(wù)報(bào)告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動(dòng)2活動(dòng)1監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境營(yíng)運(yùn)財(cái)務(wù)報(bào)告合規(guī)性業(yè)務(wù)單位A業(yè)務(wù)單位B活動(dòng)2活動(dòng)1coso是一個(gè)企業(yè)治理模型，而Cobit是一個(gè)IT治理模型。coso更多面向策略層面，而Cobit則更關(guān)注運(yùn)營(yíng)層面。Cobit可以看作是滿足許多coso目標(biāo)的一種方法，但只能從it角度來看，因?yàn)閏oso還處理非IT項(xiàng)目，如公司文化、財(cái)務(wù)會(huì)計(jì)原則、董事會(huì)責(zé)任和內(nèi)部通信結(jié)構(gòu)。安全框架——COSO安全管理和支持控制控制活動(dòng)監(jiān)督控制環(huán)境120安全框架——ISO17799安全管理和支持控制ISO17799時(shí)最常用的標(biāo)準(zhǔn)，它由正式標(biāo)準(zhǔn)——英國(guó)標(biāo)準(zhǔn)7799（BS7799）發(fā)展而來。這個(gè)是一個(gè)世界公認(rèn)的信息安全管理標(biāo)準(zhǔn)，他為企業(yè)安全提供高級(jí)概念化建議。它由兩部分構(gòu)成；第一部分是一個(gè)執(zhí)行指導(dǎo)，由如何建立一個(gè)綜合性的信息安全結(jié)構(gòu)體系的指導(dǎo)方針組成；第二部分是一個(gè)審計(jì)指導(dǎo)，說明一個(gè)遵守ISO17799的組織必須滿足的要求。安全框架——ISO17799安全管理和支持控制ISO1779121安全框架——ITIL安全管理和支持控制服務(wù)設(shè)計(jì)服務(wù)戰(zhàn)略服務(wù)轉(zhuǎn)換服務(wù)運(yùn)營(yíng)產(chǎn)生財(cái)務(wù)投資組合需求服務(wù)目錄服務(wù)級(jí)別可用性連續(xù)性供應(yīng)商度量趨勢(shì)分析報(bào)告改進(jìn)事件(Event)事故(Incident)問題技術(shù)訪問變更資產(chǎn)&配置發(fā)布和部署有效性變更資產(chǎn)&配置安全框架——ITIL安全管理和支持控制服務(wù)設(shè)計(jì)服務(wù)戰(zhàn)略服務(wù)轉(zhuǎn)122安全框架——小結(jié)安全管理和支持控制Cobit和COSO提供“要實(shí)現(xiàn)什么”，而不是“如何實(shí)現(xiàn)它”，這就是ITIL和ISO17799存在的原因。要實(shí)現(xiàn)什么CobitCOSOISO17799ITIL如何實(shí)現(xiàn)它安全框架——小結(jié)安全管理和支持控制Cobit和COSO提供“123安全管理安全治理安全治理（SecurityGovernance）在本質(zhì)上非常類似于企業(yè)的IT治理，因?yàn)檫@三者在功能和目標(biāo)上有重疊的地方。所有這三種治理都在公司的組織結(jié)構(gòu)內(nèi)進(jìn)行，而且都以輔助確保公司的生存和發(fā)展為目標(biāo)——只是側(cè)重點(diǎn)不同。IT治理學(xué)院在《董事會(huì)參考之IT治理簡(jiǎn)介》第二版中對(duì)安全治理的定義?！爸卫硎嵌聲?huì)和執(zhí)行管理層履行的一組責(zé)任和實(shí)踐，其目標(biāo)在于提供策略指導(dǎo)，確保目標(biāo)得以實(shí)現(xiàn)，封信啊得到適當(dāng)管理，并證明切葉的資源得到合理的利用?！边@個(gè)定義完全正確，但它仍然非常抽象，這更像一個(gè)策略性政策聲明，然而真正的技巧是正確解釋并將他轉(zhuǎn)化成有意義的戰(zhàn)術(shù)、運(yùn)作職能和實(shí)踐。對(duì)于安全治理而言，必須有什么東西的到治理。一個(gè)組織必須執(zhí)行的所有控制共同成為安全計(jì)劃安全管理安全治理安全治理（SecurityGovernan124安全管理制定安全計(jì)劃安全計(jì)劃是一個(gè)永不終止的生命周期；安全管理制定安全計(jì)劃安全計(jì)劃是一個(gè)永不終止的生命周期；125安全管理實(shí)施分配任務(wù)和責(zé)任指定和實(shí)施安全策略、規(guī)程、標(biāo)準(zhǔn)、基線和指導(dǎo)。確定靜態(tài)和動(dòng)態(tài)敏感數(shù)據(jù)。實(shí)施以下藍(lán)圖（Blueprint）資產(chǎn)確定和管理風(fēng)險(xiǎn)管理脆弱性管理法規(guī)遵從身份管理和訪問控制變更控制軟件開發(fā)聲明周期業(yè)務(wù)連貫性規(guī)劃意識(shí)和培訓(xùn)物理安全事故響應(yīng)實(shí)施每個(gè)藍(lán)圖的解決方案（管理、技術(shù)、物理的）。開發(fā)每個(gè)藍(lán)圖的審計(jì)和監(jiān)控解決方案確定每個(gè)藍(lán)圖的目標(biāo)、服務(wù)等級(jí)協(xié)議（SLA）和標(biāo)準(zhǔn)。計(jì)劃和組織計(jì)劃和組織確定管理承諾成立監(jiān)督指導(dǎo)委員會(huì)評(píng)估業(yè)務(wù)推動(dòng)力了解組織威脅概況進(jìn)行風(fēng)險(xiǎn)評(píng)估在組織、應(yīng)用軟件、網(wǎng)絡(luò)和組建鞥開發(fā)安全體系結(jié)構(gòu)。確定每個(gè)體系結(jié)構(gòu)層面的解決方案獲得管理層的批準(zhǔn)，以繼續(xù)向前運(yùn)作和維護(hù)遵循規(guī)程，確保所有極限在每個(gè)實(shí)施的藍(lán)圖中的到滿足執(zhí)行內(nèi)部和外部審計(jì)執(zhí)行每個(gè)藍(lán)圖中列出的任務(wù)管理每個(gè)藍(lán)圖的服務(wù)等級(jí)協(xié)議監(jiān)控和評(píng)估每個(gè)藍(lán)圖的核查日志、審計(jì)結(jié)果、收集的標(biāo)準(zhǔn)值和SLA評(píng)估每個(gè)藍(lán)圖的目標(biāo)完成情況每季與指導(dǎo)委員會(huì)舉行會(huì)議確定改進(jìn)步驟，并將其整合到“計(jì)劃和組織”階段安全管理實(shí)施計(jì)劃和組織計(jì)劃和組織運(yùn)作和維護(hù)監(jiān)控和評(píng)估126安全管理安全框架藍(lán)圖安全管理安全框架藍(lán)圖127安全管理商業(yè)需求安全管理商業(yè)需求128信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是指破壞發(fā)生的可能性，以及破壞發(fā)生后的衍生情況。信息風(fēng)險(xiǎn)管理（InformationRiskManagement，IRM）指識(shí)別并評(píng)估風(fēng)險(xiǎn)、將它降低到可接受的水平、執(zhí)行正確的機(jī)制來維持這種水平的過程。關(guān)鍵是在于識(shí)別這些威脅，估計(jì)他們實(shí)際發(fā)生的可能性以及他們可能造成的破壞，并采取恰當(dāng)?shù)拇胧瑢h(huán)境的總體風(fēng)險(xiǎn)降低到組織認(rèn)為可以接受的水平。風(fēng)險(xiǎn)管理概述信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)是指破壞發(fā)生的可能性，以及破壞發(fā)生后的衍生情129信息風(fēng)險(xiǎn)管理策略IRM策略為企業(yè)的風(fēng)險(xiǎn)管理過程及步驟提供基礎(chǔ)架構(gòu)，應(yīng)解決包括人員選拔、內(nèi)部威脅、物理安全與防火墻在內(nèi)的一切信息安全問題。同時(shí)，它還應(yīng)為IRM團(tuán)隊(duì)如何向高級(jí)管理層通報(bào)公司風(fēng)險(xiǎn)信息，以及如何執(zhí)行管理層的風(fēng)險(xiǎn)弱化策略提供指導(dǎo)。恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理需要高級(jí)管理層的鑒定承諾以及一個(gè)文本化流程，這個(gè)過程為機(jī)構(gòu)的使命、IRM策略和委任的IRM團(tuán)隊(duì)提供支持。信息風(fēng)險(xiǎn)管理信息風(fēng)險(xiǎn)管理策略IRM策略為企業(yè)的風(fēng)險(xiǎn)管理過程及步驟提供基礎(chǔ)130風(fēng)險(xiǎn)管理團(tuán)隊(duì)完成目標(biāo)的必要的條件獲得高級(jí)管理層的支持，從而對(duì)資源進(jìn)行合理的調(diào)配。這個(gè)團(tuán)隊(duì)也需要一個(gè)領(lǐng)導(dǎo)，在大型組織內(nèi)，這名成員應(yīng)用50%～70%的時(shí)間來處理風(fēng)險(xiǎn)管理工作。管理層必須投入資金對(duì)此人進(jìn)行必要的培訓(xùn)。為其提供風(fēng)險(xiǎn)工具，以確保風(fēng)險(xiǎn)管理工作的順利進(jìn)行。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理團(tuán)隊(duì)完成目標(biāo)的必要的條件信息風(fēng)險(xiǎn)管理131風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析提供了一種成本/收益比，也就是用來保護(hù)公司免收威脅安全措施的費(fèi)用和預(yù)料中的損失所需要的代價(jià)之間的比值。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析提供了一種成本/收益比，也就是用來保護(hù)公司免132風(fēng)險(xiǎn)分析團(tuán)隊(duì)要實(shí)現(xiàn)最有效的風(fēng)險(xiǎn)分析，就需要建立一個(gè)團(tuán)隊(duì)，這個(gè)團(tuán)隊(duì)的成員可以是管理人員、應(yīng)用程序員、IT人員、審計(jì)員、系統(tǒng)及成員或者運(yùn)行部經(jīng)理，這個(gè)是必需的。樣所有的風(fēng)險(xiǎn)才能被充分了解和量化。通過進(jìn)行內(nèi)部調(diào)查、訪問或舉辦研討會(huì)?？梢允占皆S多類似的信息。信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析團(tuán)隊(duì)要實(shí)現(xiàn)最有效的風(fēng)險(xiǎn)分析，就需要建立一個(gè)團(tuán)隊(duì)，這個(gè)133信息風(fēng)險(xiǎn)管理資產(chǎn)價(jià)值資產(chǎn)可以被賦予定量和定性的度量，不過這些度量方法應(yīng)該有根有據(jù)。采取什么安全機(jī)制和應(yīng)該花費(fèi)多少資金來進(jìn)行保護(hù)工作的第一步。確定一項(xiàng)資產(chǎn)的價(jià)值，還能夠完成一個(gè)公司的其他若該需求，包括下面這些。進(jìn)行有效的成本/收益分析選擇特定的對(duì)策和安全措施決定保險(xiǎn)責(zé)任范圍了解什么東西正在面臨風(fēng)險(xiǎn)資產(chǎn)包括有形資產(chǎn)（計(jì)算機(jī)、設(shè)施、供給品）或無形資產(chǎn)（聲譽(yù)、數(shù)據(jù)、知識(shí)產(chǎn)權(quán)）。由于無形資產(chǎn)的價(jià)值會(huì)隨著時(shí)間而變化，所以很難對(duì)其進(jìn)行量化。信息風(fēng)險(xiǎn)管理資產(chǎn)價(jià)值資產(chǎn)可以被賦予定量和定性的度量，不過這些134信息風(fēng)險(xiǎn)管理威脅和脆弱性的關(guān)系威脅因素可能利用的脆弱性導(dǎo)致的威脅病毒缺少反病毒軟件病毒感染黑客服務(wù)器上運(yùn)行功能強(qiáng)大的服務(wù)對(duì)保密信息的非授權(quán)訪問用戶操作系統(tǒng)中配置錯(cuò)誤的參數(shù)系統(tǒng)故障火災(zāi)缺少滅火器材設(shè)施和計(jì)算機(jī)損失，可能造成生命損害雇員松懈的訪問控制；缺少審計(jì)損壞重要的關(guān)鍵信息；在數(shù)據(jù)處理應(yīng)用程序中更改輸入輸出承包人松懈的訪問控制機(jī)制盜竊商業(yè)機(jī)密攻擊者寫的很差的應(yīng)用程序；缺少嚴(yán)格的防火墻設(shè)置造成緩沖區(qū)溢出；進(jìn)行拒絕服務(wù)攻擊入侵者缺少安全警衛(wèi)打破窗戶，盜竊計(jì)算機(jī)和設(shè)備信息風(fēng)險(xiǎn)管理威脅和脆弱性的關(guān)系威脅因素可能利用的脆弱性導(dǎo)致的135識(shí)別威脅信息風(fēng)險(xiǎn)管理識(shí)別威脅信息風(fēng)險(xiǎn)管理136風(fēng)險(xiǎn)分析常見方法信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析常見方法信息風(fēng)險(xiǎn)管理137定量風(fēng)險(xiǎn)方法信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)方法信息風(fēng)險(xiǎn)管理138安全管理風(fēng)險(xiǎn)分析的步驟資產(chǎn)的價(jià)值是多少。維護(hù)需要多少成本。資產(chǎn)的收益。對(duì)于競(jìng)爭(zhēng)對(duì)手來說，他的價(jià)值是多少。重建和修復(fù)該資產(chǎn)需要多少費(fèi)用。獲取和開發(fā)該資產(chǎn)需要多少費(fèi)用。資產(chǎn)損失，你要負(fù)多大的責(zé)任。會(huì)造成什么物理?yè)p失，這樣帶來多大的成本。生產(chǎn)力損失多少，這會(huì)帶來多大的成本？如果保密信息被泄露，損失多少?；謴?fù)過來的成本是多少。關(guān)鍵的設(shè)備出故障，會(huì)帶來?yè)p失。對(duì)每項(xiàng)風(fēng)險(xiǎn)和設(shè)施的事故計(jì)算單次損失期望值（SLE）。從每個(gè)部門的人員那里手機(jī)有關(guān)每種風(fēng)險(xiǎn)發(fā)生可能性的信息。檢查過去的記錄以及提供數(shù)據(jù)的官方安全資源。計(jì)算年發(fā)生概率（ARO），也就是每種威脅在一年中可能發(fā)生的次數(shù)將潛在損失和可能性綜合起來使用前3部中計(jì)算得到的信息，對(duì)每種威脅計(jì)算年損失期望值（ALE）為抵消每項(xiàng)風(fēng)險(xiǎn)選擇補(bǔ)救措施為每項(xiàng)措施計(jì)算成本/收益值減小風(fēng)險(xiǎn)分擔(dān)風(fēng)險(xiǎn)：買保險(xiǎn)從而將部分或全部風(fēng)險(xiǎn)轉(zhuǎn)移接受風(fēng)險(xiǎn)：讓分線存在，不花錢采取保護(hù)措施避免風(fēng)險(xiǎn)：終端危險(xiǎn)的操作安全管理風(fēng)險(xiǎn)分析的步驟資產(chǎn)的價(jià)值是多少。會(huì)造成什么物理?yè)p失，139定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念信息風(fēng)險(xiǎn)管理140定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念風(fēng)險(xiǎn)分析方法是定性分析，這種方法不對(duì)各個(gè)要素和損失賦予數(shù)值和貨幣價(jià)值。定性分析技術(shù)包括判斷、直覺和經(jīng)驗(yàn)。定性分析技術(shù)的例子有Delphi、頭腦風(fēng)暴、情節(jié)串聯(lián)、焦點(diǎn)群體、調(diào)查、問卷、檢查表、一對(duì)一會(huì)談以及采訪。風(fēng)險(xiǎn)分析團(tuán)隊(duì)撰寫了一頁(yè)概況，說明黑客攻擊公司內(nèi)部5太文件服務(wù)器訪問呢保密信息的情況，并將它發(fā)給了預(yù)先選定的一個(gè)五人小組（IT經(jīng)理、數(shù)據(jù)庫(kù)管理員、應(yīng)用程序員、系統(tǒng)操作員和運(yùn)行部經(jīng)理）。這個(gè)預(yù)先選定的團(tuán)隊(duì)對(duì)威脅的嚴(yán)重程度、潛在損失和每種安全措施的有效性，用1～5的等級(jí)進(jìn)行排序，1代表最不嚴(yán)重、最不有效或最不可能。威脅=黑客訪問保密信息威脅的嚴(yán)重性威脅發(fā)生的可能性給公司造成的潛在損失防火墻的有效性入侵檢測(cè)系統(tǒng)的有效性蜜罐的有效性IT經(jīng)理424432數(shù)據(jù)庫(kù)管理員444341應(yīng)用程序員233421系統(tǒng)操作員343421運(yùn)行部經(jīng)理544442結(jié)果3.63.43.63.831.4信息風(fēng)險(xiǎn)管理定量風(fēng)險(xiǎn)計(jì)算的相關(guān)概念風(fēng)險(xiǎn)分析方法是定性分析，這種方法不對(duì)各141屬性定量的定性的不需要計(jì)算

×需要更多的復(fù)雜計(jì)算×

設(shè)計(jì)大量猜想工作

×提供一般風(fēng)險(xiǎn)領(lǐng)域和指標(biāo)

×更容易自動(dòng)化評(píng)估×

用于風(fēng)險(xiǎn)管理性能追蹤×

提供可信的成本/收益分析×

使用可驗(yàn)證而客觀的標(biāo)準(zhǔn)×

提供了那些非常清楚這個(gè)過程的職員的意見

×指出了可能在一年之內(nèi)招致的明確損失×

定量VS.定性定量方法缺點(diǎn)評(píng)估方法及結(jié)果相對(duì)主觀無法為成本/收益分析建立貨幣價(jià)值用主觀方法很難追蹤風(fēng)險(xiǎn)管理目標(biāo)沒有相應(yīng)的標(biāo)準(zhǔn)。每個(gè)供應(yīng)商解釋器評(píng)估過程和結(jié)果的方式各不相同定性方法缺點(diǎn)計(jì)算更加復(fù)雜。管理層能夠理解這些結(jié)果是怎么計(jì)算出來的嗎？沒有自動(dòng)化的工具可供利用，這個(gè)過程完全需要手動(dòng)完成需要做大量的基礎(chǔ)性工作，手機(jī)與環(huán)境有關(guān)的詳細(xì)信息沒有相應(yīng)的標(biāo)準(zhǔn)。每個(gè)供應(yīng)商解釋其評(píng)估過程和結(jié)果的方式各不相同。信息風(fēng)險(xiǎn)管理屬性定量的定性的不需要計(jì)算

×需要更多的復(fù)雜計(jì)算×

設(shè)計(jì)大量142保護(hù)機(jī)制信息風(fēng)險(xiǎn)管理確定風(fēng)險(xiǎn)分析的計(jì)算后，下一步是確定現(xiàn)行的安全機(jī)制并評(píng)估他們的效果。安全措施使用的成本/收益計(jì)算公式為：（實(shí)行安全措施之前的ALE）-（實(shí)行安全措施之后的ALE）-（安全措施每年的費(fèi)用）=安全措施對(duì)公司的價(jià)值保護(hù)機(jī)制信息風(fēng)險(xiǎn)管理確定風(fēng)險(xiǎn)分析的計(jì)算后，下一步是確定現(xiàn)行的143基礎(chǔ)模塊提供統(tǒng)一的保護(hù)提供否決功能默認(rèn)為最小優(yōu)先級(jí)安全措施及其保護(hù)的資產(chǎn)相互獨(dú)立適應(yīng)性和功能用戶交互用戶和管理員之間的清楚界限最少的人為干預(yù)資產(chǎn)保護(hù)容易升級(jí)審計(jì)功能最小化對(duì)其他組件的依賴性容易被職員使用和接受，并能容忍錯(cuò)誤必須產(chǎn)生可用和可以理解的輸出必須能夠重啟安全措施可檢測(cè)不引入其他危害系統(tǒng)和用戶效能普遍應(yīng)用恰當(dāng)?shù)木娌挥绊戀Y產(chǎn)安全措施采購(gòu)考慮因素信息風(fēng)險(xiǎn)管理基礎(chǔ)模塊最小化對(duì)其他組件的依賴性安全措施采購(gòu)考慮因素信息風(fēng)險(xiǎn)144第1步第2步第3部指派資產(chǎn)和信息價(jià)值風(fēng)險(xiǎn)分析和評(píng)