3信息安全风险评估.pptxVIP

信息安全管理 （第二版）信息安全管理Information security management 授课内容：信息安全风险评估 第3章 信息安全风险评估3.1 概述3.2 信息安全风险评估策略3.3 信息安全风险评估流程3.4 信息安全风险评估方法3.5 风险评估案例3.6 本章小结3.7 习题3.1 概述从一个故事开始认识“风险”3.1 概述 故事梗概傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。天下无贼？3.1 概述概念资产（asset） ------对组织具有价值的任何东西 [ISO/IEC TR 13335-1：2004]威胁（ threat） ------可能导致对系统或组织损害的不希望事故潜在起因 [ISO/IEC TR 13335-1：2004]脆弱性（vulnerability）（也称脆弱点、漏洞） ------可能会被威胁所利用的资产或若干资产的弱点 [ISO/IEC TR 13335-1：2004]3.1 概述概念风险（ risk ） ------事件的概率及其结果的组合 [ISO Guide 73：2002]风险管理（ risk management ）------在风险方面指挥或控制一个组织的协调活动，一般包括风险评估、风险处理、风险接受和风险传递 [ISO Guide 73：2002]风险评价（risk evaluation） ------对照风险准则比较被估计的风险，以确定风险严重性的过程 [ISO Guide 73：2002]3.1 概述信息安全风险 信息安全风险是指信息资产的必威体育官网网址性、完整性和可用性遭到破坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。风险值=资产价值×威胁可能性×脆弱性严重性（简单理解）3.1 概述风险评估（Risk Assessment） 对信息和信息处理设施的威胁、影响(Impact，指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3.1 概述故事分析 在火车开动到停止这段时间内，综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是： 因为10万元钱不是一笔小数目（资产），葛优等小偷能力很强且决心坚决（威胁），且傻根对钱的保管手段（技术）和意识（管理）都不足（脆弱性），差一点发生 “娶不上媳妇”这样的结果（风险）。 因好心人刘德华和刘若英等的保护到位（安全措施），最终钱保住了（风险消减）。降低利用拥有增加暴露引出增加抗击被满足增加威胁脆弱性安全措施风险信息资产安全需求价值3.1 概述以风险为核心的安全模型（ ISO13335 ）3.1 概述信息安全风险评估的意义和作用信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在必威体育官网网址性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。3.1 概述3.1.1 信息安全风险评估相关要素信息安全风险评估的对象是信息系统，信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点（脆弱性）、系统中已有的安全措施等是影响信息安全风险的基本要素，它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。1. 资产根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西，资产包括：物理资产、信息/数据 、软件、提供产品和服务的能力、人员、无形资产。 《信息安全风险评估规范》——资产是指对组织具有价值的信息资源，是安全策略保护的对象。以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。3.1 概述2.威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的