风险评估与管理_V1.0.pptVIP

信息安全风险评估与管理 培训目的 培训内容 风险评估与管理基本概念 是否有100%的信息安全 什么是风险？ 什么是风险？ 什么是信息安全风险？ 什么是信息安全风险？ 风险评估与管理基本概念 资产 威胁 脆弱性 风险评估与管理基本概念 风险评估的含义 风险管理的含义 培训内容 ISO27001:2005标准要求 标准对风险评估的要求 风险评估模型的的类别 ISO/TR13335指南，风险评估方法包括: 综合风险评估方法 培训内容 详细风险评估的基本程序与方法 风险评估启始于了解组织信息安全需求 同时应理解信息安全对业务过程的影响 定义信息安全体系范围 确定信息安全管理的总体策略 风险评估组织 详细风险评估的基本程序与方法 详细风险评估的基本程序 详细风险评估的基本程序与方法 资产清点要求 – 资产分类 资产分类指引 资产分类举例 资产清点方法 – 业务分类 对业务过程进行总体描述 透过业务过程分析各个业务过程的资产 资产清点应考虑的问题 案例练习一 详细风险评估的基本程序与方法 资产重要性评估考虑因素 资产重要性评估的方法 国家信息安全风险评估指南资产赋值方法 国家信息安全风险评估指南资产赋值方法 国家信息安全风险评估指南资产赋值方法 资产重要性评估准则 资产重要性评分及分级准则 谁来负责资产重要性评估? 案例练习二 详细风险评估的基本程序与方法 威胁识别 通常考虑威胁的方法 威胁举例 案例练习三 详细风险评估的基本程序与方法 脆弱性 脆弱性识别方法 脆弱性举例 威胁与脆弱性对应 威胁与脆弱性对照举例 案例练习四 详细的风险识别程序与方法 风险描述的基本方法 案例练习五 详细的风险识别程序与方法 现有控制措施识别 案例练习六 详细风险评估的基本程序与方法 风险评估方法 风险评价方法 —— 风险发生可能性 风险级别 风险优先排序 风险优先排序准则 案例七 培训内容 风险管理 风险管理基本程序 风险管理 风险控制措施类型 风险控制措施指南 参考ISO17799:2005标准要求 参考ISO17799:2005标准要求 参考ISO17799:2005标准要求 参考ISO17799:2005标准要求 ISO/IEC TR 13335 – 4 控制措施指南举例 ISO/IEC TR 13335 – 4 控制措施指南举例 识别的控制措施应描述: 案例练习八 风险管理 选择控制措施原则 可从成本角度考虑选择控制措施 案例练习九 风险管理 编制风险评估报告及风险处置计划 编制SOA – 适应性声明 执行控制措施包括 风险管理的基本程序及方法 对信息安全风险进行定期评审 总结 由信息安全工作小组负责人起草 信息安全管理工作小组内部讨论评审 向高层报告风险评估结果 获得高层管理的批准: 风险控制措施的认可 对残余风险的了解和接受 获得对风险处置计划实施的认可 风险评估报告模版.doc 风险处置计划模版.doc 启明星辰团队 对ISO27001:2005附件A控制措施的选择结果描述 对不选用的措施,说明不选择的原因 认证前需要提交认证机构审查 适用性声明书.doc 启明星辰团队 根据风险处置计划，执行计划规定的控制措施,包括: 制定相应的策略\目标\程序\规范 执行信息安全策略、程序、规范要求 执行相关法律和法规要求 对所采取的控制措施过程进行监视 对执行结果进行定期的安全审计 启明星辰团队 风险管理的基本程序 识别控制措施 选择控制措施 执行控制措施 定期对风险进行评估 启明星辰团队 对信息安全风险进行定期评审： 每年要根据公司年度管理目标确定公司战略重点,并根据战略重点,确定关键业务过程; 对关键业务过程回顾信息安全风险，确定是否有新的风险出现，并进行评估 新项目启动前 业务过程发生变化时 物理环境发生变化时 增加新的业务时 组织机构发生变化时候 增加重要信息资产时 启明星辰团队 风险评估与管理的最终目的: 识别组织可能遭遇的各种风险 根据风险程度,采取控制措施 执行控制措施，并将风险控制在可接受的水平 接受残余风险 启明星辰团队 脆弱性一旦被威胁利用后，可能对资产造成损失，即风险。因此，为进一步确定威胁利用脆弱性而可能产生的损失/后果，会对造成的风险进行描述： 例如： 火灾 —— 设备对高温敏感 —— 设备受损失，数据丢失 由于设备对高温敏感，当发生火灾时，导致设备受损/数据丢失 例如：无意暴露敏感信息 —— 敏感信息未分级别 —— 敏感信息泄露 由于敏感信息未明确分级，员工可能无意暴露敏感信息，导致敏感信息泄露 启明星辰团队 风险描述练习 根据案例练习三、练习四识别的威胁与脆弱性，描述脆弱性被威胁利用后可能的后果。 报告风险描述结