风险管理简介
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
信息系统生命周期
信息系统生命周期是某一信息系统从 无到有,再到扬弃的整个过程,包括规划、 设计、实施、运维和废弃五个基本阶段。
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
信息安全基本原则
信息安全通常强调所谓CIA三元组的目标,即保密性、 完整性和可用性。CIA概念的阐述源自信息技术安全评估 标准(InformationTechnology Security Evaluation Criteria, ITSEC),它也是信息安全所要遵循的基本原则。
除了CIA,信息安全还有一些其他原则,包括可追溯 性(Accountability)、抗抵赖性(Non-repudiation)、真 实性(authenticity)等……
风险 评估
风险评估
风险评估是信息安全风险管理的第二步,针对 确立的风险管理对象所面临的风险进行识别、分析 和评价。
信息安全风险管理要依靠风险评估的结果来确 定随后的风险处理和审核批准活动。基于风险评估 的风险管理方法被实践证明是有效的和实用的,已 被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识 别、风险分析和风险结果判定四个阶段。在信息安 全风险管理过程中,接受项目规划的输出,为风险 处理提供输入,监控审查和沟通咨询贯穿其四个阶 段。
项目 规划
风险评估 准备
沟通咨询
监控审查
风险评估
风险要素 识别
风险分析
风险结果 判定
风险 处理
制制选 定定择 风风风 险险险 评评评 估估估 计方方 划案法
风险管理概述
信息安全风险管理是基于风险
的信息安全管理,也就是,始终以 风险为主线进行信息安全的管理。
项目规划
信息安全风险管理包括项目规划、
风险评估、风险处理、审核批准、
监控审查和沟通咨询六个方面的内
监
风险评估
沟
容。项目规划、风险评估、风险处 理和审核批准是信息安全风险管理
控 审 查
的四个基本步骤,监控审查和沟通
险的过程 安全措施(Safeguard)——也称作控制措施(control)或对策
(countermeasure),即通过防范威胁、减少弱点、限制意外事 件带来影响等途径来消减风险的机制、方法和措施 残留风险(Residual Risk)——在实施安全措施之后仍然存在 的风险
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
内容和过程
项目规划 风险评估 风险处理 审核批准 监控审查 沟通咨询
项目规划
项目规划是信息安全风险管理的第一步骤,确 定风险管理的对象和范围,确立实施风险管理的 准备,进行相关信息的调查和分析。
项目规划目的是为了明确信息安全风险管理的 范围和对象,以及对象的特性和安全要求,对信 息安全风险管理项目进行规划和准备,保障后续 的风险管理活动顺利进行。
风险处理
通 咨 询
咨询则贯穿于这四个基本步骤中。
审核批准
Z
信 息 安 全 目 标
沟通咨询 监控审查
抗
抵
项风风审
性 赖实 真 性 可
目险险核 规评处批 划估理准
用
性 完
整
保
性 保
规划
障
密
设计
级
性
实施
别
运维
废弃
信 息 安 全 风 险 管 理
项目规划的过程包括风险管理准备、信息系统 调查、信息系统分析和信息安全分析四个阶段。 在信息安全风险管理过程中,项目规划过程是一 次信息安全风险管理主循环的起始,为风险评估 提供输入,监控审查和沟通咨询贯穿其四个阶段。
沟通咨询
监控审查
项目规划
风险管理 准备
信息系统 调查
信息系统 信息系统生命周期 的每个阶段,为了达到 其信息安全目标,都需 要相应的信息安全风险
管理手段作为支持。
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
风险管理基本概念
资产(Asset)——任何对组织具有价值的东西 威胁(Threat)——就是可能对资产或组织造成损害的意外事件
保密性(Confidentiality)——确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)——确保信息在存储、使用、传输过程中不会 被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当 的篡改,保持信息内、外部表示的一致性。
可用性(Availability)——确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
风险管理简介
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
主要内容
信息安全基本原则 信息系统生命周期 风险管理概述 风险管理基本概念 风险管理内容和过程 风险管理跟进活动 风险管理相关标准 风险评估工具
确 组 制 获调 调 调 调
定 建 定 得查 查 查 查
风 风 风 支信 信 信 信
险 险 险 持息 息 息 息
管管管
系系系系
理理理
统统统统
对团计
的的的的
象队划
业业技管
务务术理
目特特特
标性性性
分分 析析 信信 息息 系系 统统 的的 体关 系键 结要 构素
分分 析析 信信 息息 系系 统统 的的 安安 全全 环要 境求
的潜在原因 弱点(Vulnerability)——也被称作漏洞或脆弱性,即资产或资
产组中存在的可被威胁利用的缺点 风险(Risk)——特定威胁利用资产的弱点给资产或资产组带来损
害的潜在可能性。 风险管理(Risk Management)——识别、控制、消除或最小
化可能影响系统资源的不确定因素的过程 风险处理(Risk Treatment)——选择并且执行措施来更改风
