风险评估的国际动态.pptVIP

ISMS Risks Asset threats vulnerabilities Asset value utility asset directory Assets Corporate image People Information/information systems Processes Products/services Applications ICT Physical Risk treatment Risks impacts Risk treatment 第三十一页，共五十一页。 风险等级 不可容忍 的风险 可容忍 的风险 很少发生业务暴露 持续的业务暴露 对业务影响的 因果关系较小 对业务产生灾难性影响的因果关系 业务影响 低 (可忽略, 无关紧要,为不足道, 无须重视) 中低(值得注意, 相当可观但不是主要的) 中 (重要, 主要) 中高 (严重危险, 潜在灾难) 高 (破坏性的, 总体失灵,完全停顿) 第三十二页，共五十一页。 必威体育官网网址性要求 (C) 资产价值 分级 描述 1 – 低 可公开 非敏感信息和信息处理设施及系统资源，可以公开.。 2 – 中 仅供内部使用或限制使用 非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。 3 – 高 秘密或绝密 敏感的信息或信息处理设施和系统资源，只能根据需要 （need-to-know ）或严格依据工作需要。 资产分级 第三十三页，共五十一页。 完整性要求 (I) 资产价值 分级 描述 1 – 低 低完整性 对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。 2 – 中 中完整性 对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。 3 – 高 高或非常高 完整性 对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。 资产分级 第三十四页，共五十一页。 可用性要求 (A) 资产价值 分级 描述 1 - 低 低可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍多于一天的不能使用。 2 – 中 中可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍半天到一天的不能使用。 3 – 高 高可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍几个小时的不能使用。 4 – 非常高 非常高的可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 必须保证每年每周24x7 工作。 资产分级 第三十五页，共五十一页。 威胁和脆弱性估计 威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。 实例 不太可能 发生的机会小于 可能 出现的机会小于 25% 很可能/大概 机会 50:50 高可能 发生的机会多于 75% 非常可能 不发生的机会小于1/10 绝对无疑 100%会发生 第三十六页，共五十一页。 风险控制 Risk threshold Risk level 第三十七页，共五十一页。 风险控制 Continual Improvement 第三十八页，共五十一页。 风险评估的国际动态 第一页，共五十一页。 汇报要点 信息安全管理成为信息安全保障的热点 泰德带来的启示 风险评估和等级保护的关系 第二页，共五十一页。 信息安全管理成为信息安全保障的热点 第三页，共五十一页。 IT IS $！ 信息就是财富,安全才有价值。 CI: Critical Infrastructure CIP: Critical Infrastructure Protection CII: Critical Information Infrastructure. CIIP: Critical Information Infrastructure Protection 技术提供安全保障功能，但不是安全保障的全部 提高人的安全意识，技术、管理两手抓成为国际共识。 第四页，共五十一页。 标准化组织和行业团体抓紧制定管理标准 ISO 13335 正在重组修改 正在修订17799 BS 7799-2 成为国际标准正在讨论 第五页，共五十一页。 NIST 在联邦IT系统认证认可的名义下提出大量规范 SP 800-18 《IT系统安全计划开发指南 》（1998年12月 ） SP 800-26 《IT系统安全自评估指南》（2001年11月） SP 800-30 《IT系统风险管理指南》（2002年1月发布，2004年1月21日 修订 ） SP 800-37 《联邦IT系统认证认可指南》（2002年9