信息安全管理技术-PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全建设和管理的科学方法
分析确定风险的过程
信息安全 风险评估
信息安全建设的起点和基础 倡导一种适度安全
信息安全风险识别与评估
Fra Baidu bibliotek 信息安全风险识别与评估
信息资产的价值
信息安全风 险识别与评 估应考虑的 因素:
信息资产的威胁及其发生的 可能性
信息资产的脆弱性
已有安全措施
准备和计划
准备阶段
资产评估
威胁评估
信息安全风险识别与评估
资产的识别与估价
准备和计划
准备阶段
资产评估
威胁评估
脆弱性评估
评估已有安全 控制措施
识别阶段
影 响 可能性
评价风险
安全措施建议
分析阶段
汇报及验收
验收阶段
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
故意破坏(网络攻击、 恶意代码传播、邮件炸 弹、非授权访问等)和 无意失误(如误操作、 维护错误)
威胁识别与评估
威胁发生造成的后果或潜在影响
威胁一旦发生会造成信息保密性、完整性和可用 性等安全属性的损失,从而给组织造成不同程度 的影响,严重的威胁发生会导致诸如信息系统崩 溃、业务流程中断、财产损失等重大安全事故。 不同的威胁对同一资产或组织所产生的影响不同, 导致的价值损失也不同,但损失的程度应以资产 的相对价值(或重要程度)为限。
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全规划
信息安全规划也称为信息安全计划,它用 于在较高的层次上确定一个组织涉及信息 安全的活动,主要内容:
安全策略
安全需求
计划采用的安全措施 安全责任 规划执行时间表
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
系统、网络或服 务的故障(软件 故障、硬件故障 、介质老化等)
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
电源故障、污 染、液体泄漏 、火灾等
信息安全管理技术
NO.:S310060074 NAME:谷德丽
主讲内容
1
2 3 4 5 6
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全管理引入与内涵
信息安全在其发展过程中经历的三个阶段:
20世纪80、90年代以前,面对信息交换过程中存在的安 全问题,人们强调的主要是信息的保密性和完整性,该阶 段称为通信保密阶段; 20世纪80、90年代,随着计算机和网络广泛应用,人们 对信息安全的关注已经逐渐扩展为以保密性、完整性和可 用性为目标,并利用密码、认证、访问控制、审计与监控 等多种信息安全技术为信息和信息系统提供安全服务,该 阶段称为信息安全阶段;
信息安全管理引入与内涵
信息安全技术与信息安全管理
信息安全技术是实现信息安全产品的技术基础; 信息安全产品是实现信息安全的工具平台;
信息安全管理是通过维护信息的机密性、完整性 和可用性等,来管理和保护信息资产的一项体制, 是对信息安全保障进行指导、规范和管理的一系 列活动和过程。
主讲内容
1
2 3 4 5 6
信息安全管理引入与内涵
信息安全在其发展过程中经历的三个阶段
20世纪90年代中后期,由于互联网技术的飞速发展,信 息对内、对外都极大开放,由此产生的安全问题已经不仅 仅是传统的保密性、完整性和可用性三个方面,人们把信 息主体和管理引入信息安全,由此衍生出诸如可控性、抗 抵赖性、真实性等安全原则和目标,信息安全也从单一的 被动防护向全面而动态的防护、检测、响应和恢复等整体 建设方向发展。该阶段称为信息安全保障阶段。
主讲内容
1
2 3 4 5 6
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全风险识别与评估
信息安全风险来自人为或自然的威胁,是威胁利用 信息系统的脆弱性造成安全事件的可能性及这类 安全事件可能对信息资产等造成的负面影响。
信息安全风险识别与评估
资产的识别与估价
在列出所有信息资产后,应对每项资产赋予价值。资产估 价是一个主观的过程,而且资产的价值应当由资产的所有者 和相关用户来确定,只有他们最清楚资产对组织业务的重要 性,从而能够准确地评估出资产的实际价值。 为确保资产估价的一致性和准确性,组织应建立一个资产 的价值尺度(资产评估标准),以明确如何对资产进行赋值。 在信息系统中,采用精确的财务方式来给资产确定价值比 较困难,一般采用定性分级的方式来建立资产的相对价值或 重要度,即按照事先确定的价值尺度将资产的价值划分为不 同等级,以相对价值作为确定重要资产及为这些资产投入多 大资源进行保护的依据。
脆弱性评估
评估已有安全 控制措施
识别阶段
影 响 可能性
评价风险
安全措施建议
分析阶段
汇报及验收
验收阶段
信息安全风险识别与评估
资产的识别与估价
为了明确被保护的信息资产,组织应列出与信息 安全有关的资产清单,对每一项资产进行确认和适 当的评估。 为了防止资产被忽略或遗漏,在识别资产之前应 确定风险评估范围。所有在评估范围之内的资产都 应该被识别,因此要列出对组织或组织的特定部门 的业务过程有价值的任何事物,以便根据组织的业 务流程来识别信息资产。
信息安全风险识别与评估
信息安全风险评估: 也称信息安全风险分析,它是指对信息安全 威胁进行分析和预测,评估这些威胁对信息资产 造成的影响。 信息安全风险评估使信息系统的管理者可以在 考虑风险的情况下估算信息资产的价值,为管理 决策提供支持,也可为进一步实施系统安全防护 提供依据。
信息安全风险识别与评估
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
洪水、地震 、台风、滑 坡、雷电等
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的 原因 确认威胁的目标
威胁识别 与评估的 主要任务
评估威胁发生的可 能性
威胁发生造成的后 果或潜在影响
信息安全风险识别与评估