当前位置：文档之家› 信息安全与风险管理

信息安全与风险管理

安全管理和支持控制
应用概念的顺序
安全框架业务对象完整性
定量和定性风险评估
机构安全模型包括许多实体、保护机制、逻辑和物理组件、规程和配置组成这些因素在一起相互协作，能够为系统
完整性
定义风风险险和威分析胁保护数据功能性评价需求分级系统可法律安全策略和靠性责任意识规程代价合理的安全措对策解决方案施机密性完整性可用性
信息风险管理
风险管理团队
完成目标的必要的条件获得高级管理层的支持，从而对资源进行合理的调配。这个团队也需要一个领导，在大型组织内，这名成员应用50%～ 70%的时间来处理风险管理工作。管理层必须投入资金对此人进行必要的培训。为其提供风险工具，以确保风险管理工作的顺利进行。
可以破坏
资产
威胁（Threat）是威胁因素利用威错若星所造成的损失的潜能或是可胁能性。暴暴露（Exposure）是因威胁因素露而遭受损失的一个案例。
对对策（countermeasure）或者安策全措施，可以减轻潜在的风险。
暴露
安全措施
并且引起一个
不能够被预防，通过
安全管理和支持控制
安全管理和支持控制
安全框架——ITIL
改进
服务设计事件(Event) 事故(Incident) 问题技术访问产生财务服务战略投资组合需求
度量
服务目录服务级别可用性连续性供应商
报告
服务运营
服务转换
趋势
变更资产&配置发布和部署有效性
分析
安全管理和支持控制
安全框架——小结
安全管理
安全管理过程
实施策略和控制评定风险和确定需求
安全管理过程是一个不断循环的过程；首先从评估风险和确定需求开始；然后监控和评估相关系统和事件；
接下来是最后一加强意识，步是实这包括让企业中的所有相关
然后这个循环再次从头开始。
施解决前面定
人员了解义的风的问题。求的策
安全管理和支持控制
安全框架-Cobit
安全管理和支持控制
安全框架——COSO
监督
所有的五个部分必须同时作用才能使内部控制得以产生影响
控制活动
监控信息和沟通控制活动风险评估控制环境
不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。
安全管理
制定安全计划
安全计划是一个永不终止的生命周期；
安全管理
计划和组织
实施计划和组织
分配任务和责任指定和实施安全策略、规程、标准、基线和指导。确定静态和动态敏感数据。实施以下蓝图（Blueprint）资产确定和管理风险管理脆弱性管理运作和维护法规遵从遵循规程，确保所有极限在每个实施的蓝图身份管理和访问控制中的到满足变更控制执行内部和外部审计软件开发声明周期执行每个蓝图中列出的任务业务连贯性规划管理每个蓝图的服务等级协议意识和培训物理安全监控和评估事故响应每个蓝图的核查日志、审计结果、收集的标实施每个蓝图的解决方案（管理、技术、物准值和SLA 理的）。评估每个蓝图的目标完成情况开发每个蓝图的审计和监控解决方案每季与指导委员会举行会议确定每个蓝图的目标、服务等级协议（SLA）确定改进步骤，并将其整合到“计划和组织” 和标准。阶段确定管理承诺成立监督指导委员会评估业务推动力了解组织威胁概况进行风险评估在组织、应用软件、网络和组建鞥开发安全体系结构。确定每个体系结构层面的解决方案获得管理层的批准，以继续向前
信息安全与风险管理
安全管理
安全管理主要内容及概述
风险管安全教育
理
信息安全策略
安全组织
安全管
理
规程
信息分
级基线方针
标准
安全计划是公司的安全管理的核心组成部分，目的是保护公司财产。风险分析是确定公司财产，发现构成威胁的风险并评估这些危险变成现实的时可能承受的危害和损失，风险分析的结果帮助管理者采取可行的安全策略，为在公司中发生的活动提供安全方面的指导，说明安全管理在公司安全计划中的价值。安全教育将上面的信息灌输给公司中的每个员工，这样，每一个人都受到教育，从而能够更容易的朝着同一个安全目标前进。
安全管理和支持控制
安全框架——ISO17799
ISO17799时最常用的标准，它由正式标准——英国标准7799（BS7799）发展而来。这个是一个世界公认的信息安全管理标准，他为企业安全提供高级概念化建议。它由两部分构成；第一部分是一个执行指导，由如何建立一个综合性的信息安全结构体系的指导方针组成；第二部分是一个审计指导，说明一个遵守ISO17799的组织必须满足的要求。
影响安全计划的因素
• 管理上的支持是安全计划最重要的因素之一。 • 从商业目标、安全风险、用户能力以及功能需求和目标，并制定计划，以保证问题都解释清楚而且正
确表述。
• 依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则，他们为资产提供了完整性、机密性和可用性。 • 使用一定的手段对安全风险进行评估和分析。 • 必要的资源、资金和战略代表需要参与到安全计划中来
信息风险管理
信息风险管理策略
括人员选拔、内部威胁、物理安全与防火墙在内的一切信息安全问题。同时，它还应为IRM团队如何向高级管理层通报公司风险信息，以及如何执行管理层的风险弱化策略提供指导。恰当的风险管理需要高级管理层的鉴定承诺以及一个文本化流程，这个过程为机构的使命、 IRM策略和委任的IRM 团队提供支持。
理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流
营造单位气氛－让公司员工建立
内部控制
因素包括正直，道德价值，能力，
权威和责任
是其他内部控制组成部分的基础
coso是一个企业治理模型，而Cobit是一个IT治理模型。coso更多面向策略层面，而Cobit则更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法，但只能从it角度来看，因为coso还处理非IT项目，如公司文化、财务会计原则、董事会责任和内部通信结构。
安全管理
自顶向下的方法
盖房子 • 确定蓝图 • 构建房基 • 构建框架 • 装修，详细的房间的布置制定安全计划 • 根据上级的主导思想和条款制定
自底向上的方法：在没有足够的管理层支持和知道的时候，IT部门荣祥指定安全计划，就可以使用自底向上的方法；自底向上的方法通产不会很有效，不占主流，而且往往会失败。自顶向下的方法：这个过程坚实系统性的，需要较少的时间、金钱和资源，而且能够在功能和
完整性
机密性
可用性（Availability）:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。
安全管理和支持控制
安全定义
引起
威胁因素
利用
威胁
直接作用到
导致
脆弱性风险
脆弱性（Vulnerability）是一种脆软件、硬件或是过程缺陷，这种缺弱陷也许会给攻击者提供正在寻找的性方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。
确保管理活动付诸实施的政
策/流程。
措施包括审批、授权、确认、
建议、业绩考核、资产安全和职责分离。
信息和沟通及时地获取，确定并交流相关的
信息
控制环境
风险评估风险评估是为了达到企
业目标而确认和分析相关的风险-形成内部控制活动的基础
从内部和外部获取信息使得形成从职责方面的指示到管
机构安全框架在网络中评估这些概念的正确顺序为：威胁、暴露、脆弱性、对策，最后为风险。这是因为：如果具有某种威胁（新的SQL攻击），但是除非你所在公司存在对应的脆弱性（采用必要配置的SQL服务器），否则公司不会暴露在威胁之中，这也不会形成脆弱性。如果环境中确实存在脆弱性，就应该采取对应策略，以降低风险。
提供一定的安全级别。
每个模型都是不相同的，但是所有的模型都分层；每层都为其上层提供支持并未下层提供保护。
总体安全
安全管理和支持控制
安全规划
日常目标或操作目标都集中在工作效率和面向任务的活动和说那个，这样才能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战术目标，可能是将所有的工作站和资源都整合到一个地方，这样就可以实现集中控制。长期目标，或战略目标，可能会涉及到如下活动；将所有部门从专用通信线路转移到帧中继方式，为所有的远程用户转杯IPsec虚拟专用网；（VPN）以代替拨号方式，向系统中整个带有必要安全措施是的无线技术。
安全指标
安全管理和支持控制
安全的基本原则
保密性（Confidentiality）:确保信息在存
可用性
储、使用、传输过程中不会泄露给非授权
用户或实体。完整性（Integrity）:确保信息在存储、使用、传输过程中不会被非授权篡改，防止
安全原
则
授权用户或实体不恰当的修改信息，保持信息内部和外部的一致性。
Cobit和COSO提供“要实现什么”，而不是“如何实现它”，这就是ITIL和 ISO17799存在的原因。
要实现什么
Cobit
ISO17799
COSO
ITIL
如何实现它
安全管理
安全治理
• 安全治理（Security Governance）在本质上非常类似于企业的IT治理，因为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组织结构内进行，而且都以辅助确保公司的生存和发展为目标——只是侧重点不同。 • IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义。 “治理是董事会和执行管理层履行的一组责任和实践，其目标在于提供策略指导，确保目标得以实现，封信啊得到适当管理，并证明切叶的资源得到合理的利用。” • 这个定义完全正确，但它仍然非常抽象，这更像一个策略性政策声明，然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实践。 • 对于安全治理而言，必须有什么东西的到治理。一个组织必须执行的所有控制共同成为安全计划

e商务文档

信息安全与风险管理

相关文档推荐：