当前位置:
文档之家› 企业安全风险评估培训课件知识
企业安全风险评估培训课件知识
硬件 文档 设备 人员 其它
简称
解释/示例
Data
存在电子媒介的各种数据资料,包括源代码、 数据库数据,各种数据资料、系统文档、运行
管理规程、计划、报告、用户手册等
Software 应用软件、系统软件、开发工具和资源库等
Service
业务流程和各种业务生产应用、操作系统、 WWW、 SMTP、 POP3、 FTP 、 MRPII、 DNS
第二阶段:蓝图阶段
蓝图系列文档
第三阶段:安全风险评估阶段
×××公司系统综合风险分析报告
15
项目阶段主要成果及标志(2)
第四阶段:综合评估和策略阶段
×××公司系统网络安全现状 ×××公司系统安全策略建议 ×××公司系统安全解决方案
第五阶段:项目评审
项目验收报告
16
风险评估的模式
精简型风险评估 标准型评估 大型评估
17
今日议题
安全风险评估介绍
信息安全介绍 工作环节 评估的模式
安全风险评估流程
安全风险评估工具介绍
安全风险评估工具
18
安全风险评估流程
• 信息资产界定 • 安全弱点和威胁的评估 • 风险量化和计算 • 安全评估报告 • 安全解决方案
评估流程图
19
信息资产分类列表
类别 数据
软件 服务
人工评估报告 顾问访谈备忘录 网络架构评估报告 策略文档评估报告
白客测试分析报告 安全问卷调查报告 业务流程评估报告 策略文档评估报告总结
方
案
安全风险评估报告
阶
网络安全策略评估和改进建议
段
网络安全解决方案
14
项目阶段主要成果及标志(1)
第一阶段:项目准备阶段
×××公司安全风险评估方案建议(SOW文档)
7
“安全”(security)的独特内涵
“防范潜在的危机”
8
“安全”与“性能”的对比
性能
容易量化 可以评价为:低、较低、较高、高 …… 看得见
安全
➢很难量化 ➢只有两个结果“出事”和“不出事” ➢容易被忽视
9
信息安全的相对性
“防范潜在的危机”安全没有100% 安全只能将风险降到最低 只有相对的安全,没有绝对的安全
HR
各级管理人员,网管员,系统管理员,业务操
作人员,第三方人员等
Other
企业形象,客户关系等
20
本项目应用的分类标准
资产组
主机(硬件,OS,应用软件,服务,数据) 网络(硬件,IOS,配置文件,网络服务) 数据库(数据库软件,数据等) 总体资产组(每个业务为一个资产组)
独立资产
服务(主要业务服务和业务流程等) 数据(重要的数据) 人员(各类人员,安全组织和人员)
定义项目目标
培训
定义详细项目范围 定义报告格式 完成蓝图并与用户签署
4-综合报告和解决方案
数据导入信息库和整理 综合评估报告
综合解决方案 安全策略建议
12
项目阶段和提交文档
1
项目 计划
组织 结构
项目 人员
项目 范围
2
需求调研
项目蓝图
345
风险评估报告 及解决方案策略建议
评估报告 及解决方案
评估报告 及解决方案
1
PPT模 板 下 载 : /moban/ 节 日 PPT模 板 : /jieri/ PPT背 景 图 片 : /beijing/ 优 秀 PPT下 载 : /xiazai/ Word教 程 : /word/ 资 料 下 载 : /ziliao/ 范 文 下 载 : /fanwen/ 教 案 下 载 : /jiaoan/
、呼叫中心、内部文件服务、网络连接、网络
隔离保护、网络管理、网络安全保障、入侵监
控
Hardware 计算机硬 件、 路由 器、 交换 机、 硬件 防火 墙、 程控交换机、布线、备份存储设备等
Document 纸质的各 种文 件、 传真 、电 报、 财务 报告 、发
展计划
Facility
电源、空调、保险柜、文件柜、门禁、消防设 施等
试 卷 下 载 : /shiti/
安全风险评估培训
Inspur group
安全风险评估培训
3
今日议题
安全风险评估介绍
信息安全介绍 工作环节 评估的模式
安全风险评估流程
安全风险评估工具介绍
安全风险评估工具
4
什么是风险?
风险 Risk
对目标有所影响的某个事情发生的可能性。它根据后果和可能性 来度量。
安全信息库设计和 开发综合评估 报告综合解决方 案策略建议
安全解决 方案
用户 回访 报告
13
项目成果-交付件结构
远程评估
申请方案 评
IDS申请报告 ISS申请报告 IDS实施方案 ISS实施方案
估
阶
段
中间报告 IDS分析报告 ISS分析报告
本地评估
人工评估申请报告 白客测试申请报告 人工评估实施方案 白客测试实施方案
---- AS/NZS 4360:1999《风险管理》
5
信息安全定义
信息安全的三个方面(ISO27001/BS7799)
➢机密性(Confidentiality) ➢完整性(Integrity) ➢可用性(Availability)
6
信息安全的典型特性
潜在性 相对性 层次性 分布性 。。。。。。
21
信息资产赋值
机密性、完整性和可用性的价值分别赋值
赋值 4 3 2 1 0
含义
解释
Very High 价值非常 关键 ,对 相应 资产 具有 致命 性的 潜在
影响
High
价值较高,潜在影响严重,相应资产将蒙受严
行 业 PPT模 板 : /hangye/ PPT素 材 下 载 : /sucai/ PPT图 表 下 载 : /tubiao/ PPT教 程 : /powerpoint/ Excel教 程 : /excel/ PPT课 件 下 载 : /kejian/
10
风险管理的核心理念
资产保护
11
安全评估项目中的阶段
1-项目准备与范围确定
项目计划 项目组织结构 项目工作环境 Kick off 需求调研,背景讨论
1 2
3-评估
安全评估(本地,远程)
本地评估
安全信息库开发
4 3
5-评审 支持和维护
修复和加固协助 电话热线支持
5
2-项目定义和蓝图
完成详细方案设计
