信息安全风险管理概述
13
三、信息安全风险管理各组成部 分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
14
三、信息安全风险管理各组成部 分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
15
对象确立概述
对象确立是信息安全风险管理的第 一步骤,根据要保护系统的业务目标和特 性,确定风险管理对象。其目的是为了明 确信息安全风险管理的范围和对象,以及 对象的特性和安全要求。
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
10
三维结构关系
Z
信 息 安 全 目 标
沟通与咨询 监控与审查
抗 否
对风风审
认 可 性 追
象险险核 确评控批
究 性 可
用
立估制准
性 完
整
保
性 保
规划
障
密
设计
级
性
实施
别
运维
信息系统的 描述报告
信息系统的 分析报告
确认已有的安全措施
已有安全措施 分析报告
信息系统的 安全要求报告
分析威胁源的动机
16
对象确立过程
风险管理 准备
对象确立的沟通与咨询
对象确立的监控与审查
对象确立
信息系统 调查
信息系统 分析
信息安全 分析
制
调调调调
分分
分分
定
查查查查
析析
析析
风
信信信信
信信
信信
险
息息息息
息息
息息
管
系系系系
系系
系系
理
统统统统
统统
统统
计
的的的的
的的
的的
划
业业技管
体关
安安
务务术理
系键
全全
目特特特
结要
环要
标性性性
分析信息系统的体系结构 分析信息系统的关键要素
信息系统的 分析报告
20
信息安全分析
相关的政策、法 律、法规和标准
信息系统的 描述报告
信息系统的 分析报告
分析信息系统的安全环境 分析信息系统的安全要求
信息系统的 安全要求报告
21
对象确立的文档
22
三、信息安全风险管理各组成部 分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
确定风险评估程序
选择风险评估方法和工具
风险评估计划
风险评估程序
入选风险评估 方法和工具列表
26
风险因素识别
信息系统的 描述报告
信息系统的 分析报告
信息系统的 安全要求报告
威胁库
漏洞库
识别需要保护的资产 识别面临的威胁
识别存在的脆弱性
需要保护的资产 清单
面临的威胁 列表
存在的脆弱性 列表
27
风险程度分析
构素
境求
风险 评估
17
风险管理准备
机构的使命
制定风险管理计划
风险管理计划
18
信息系统调查
机构的使命
机构的业务 机构的组织结构
和管理制度 机构的技术平台
调查信息系统的业务目标 调查信息系统的业务特性 调查信息系统的管理特性 调查信息系统的技术特性
信息系统的 描述报告
19
信息系统分析
信息系统的 描述报告
汇报内容
一、前言 二、信息安全风险管理概述 三、信息安全风险管理各组成部分 四、信息安全风险管理的运用 五、结束语
1
一、前言
2
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
风风风需面存已威威脆资影分风
险险险要临在有胁胁弱产响析险
评评评保的的的源行性的的结等
估估估护威脆安的为的价程果级
计程方的胁弱全动的被值度
划序法资
性措机能利
和产
施
力用
工
性
具
25
风险评估准备
信息系统的 描述报告
信息系统的 分析报告
信息系统的 安全要求报告
现有风险评估 方法和工具库
对象 确立
制定风险评估计划
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
3
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
4
信息安全风险管理的目的和意义
23
风险评估概述
风险评估是信息安全风险管理的第二 步,针对确立的风险管理对象所面临的风 险进行识别、分析和评价。
24
பைடு நூலகம்
风险评估过程
对象 确立
风险评估 准备
风险评估的沟通与咨询
风险评估的监控与审查
风险因素 识别
风险评估
风险程度 分析
风险等级 评价
风险 控制
制确选识识识确分分分分分评给
定定择别别别认析析析析析价出
废弃
信 息 安 全 风 险 管 理
X
Y 信息系统生命周期
11
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
12
信息安全风险管理相关人员的角色和责任
5
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
6
信息安全风险管理的范围和对象
信息环境
信息环境
信信 息息 环载 境体
信息安全风险管理是信息安全保障工作中的一项 基础性工作 。
1、信息安全风险管理体现在信息安全保障体系 的技术、组织和管理等方面。
2、信息安全风险管理贯穿信息系统生命周期的 全部过程。
3、信息安全风险管理依据等级保护的思想和适 度安全的原则,平衡成本与效益,合理部署和利用信 息安全的信任体系、监控体系和应急处理等重要的基 础设施,确定合适的安全措施,从而确保机构具有完 成其使命的信息安全保障能力。
信息安全风险管理的内容和过程
沟通与咨询
对象 确立
沟
通 与 咨
审核 批准
询
监控 与
审查
沟
风险 评估
通 与 咨
询
风险 控制
沟通与咨询
9
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
信息载体 信息自身 信息载体
信信 息息 载环 体境
信息环境
信息环境
7
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
8
