危机管理-风险管理方式及风险分析报告(pdf29页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9 2002-9-27
对策
物理 z 程序 z 技术 z 人员
z
Guangdong Information Technology Ltd.
10 2002-9-27
风险分析 和 风险管理
风险分析和风险管理方法的优点和缺点
Guangdong Information Technology Ltd.
11 2002-9-27
21 2002-9-27
风险评估完成…
评估资产(比例1:10) z 评估威胁性(比例 1:3) z 评估脆弱性 (比例 1:3) z 影响评估整合在脆弱性评估里面
z
Guangdong Information Technology Ltd.
22 2002-9-27
资产评估
数据
z z z z z z z
4 2002-9-27
主要目的
保护下面的资产
• • • • • • • 硬件 软件 通信设备 周边控制设备 文档 数据和信息 员工
保护信息安全
Guangdong Information Technology Ltd.
5 2002-9-27
信息安全可以/应该保护什么
绝对的安全是不存在的 z 最好的做法是平衡潜在风险成本和实施 对策成本 z 我们需要估计风险成本和估计对策的有 效性的方法,以便可以加以比较
z
Guangdong Information Technology Ltd.
17 2002-9-27
然而…
到目前还没有人提出一个更好的处理风 险的办法 z 使用一个公共的语言使管理层、雇员、 专家之间有了交流的渠道 z 用经济术语代替数学公式进行威胁表达, 在有密集商业活动的组织里有特定的优 势
z
2 2002-9-27
风险分析 和 风险管理方法
介绍-术语
Guangdong Information Technology Ltd.
3 2002-9-27
相关术语
信息安全包括: • 保护信息的机密性 • 保护信息的完整性 • 保护信息的有效性
Guangdong Information Technology Ltd.
风险分析和风险管理方法
z z z z z z z z
建立信息安全的抽象模型 鉴定和Βιβλιοθήκη Baidu计所有的资产 估计对IT用户的影响 分析脆弱性 分析威胁程度 计算风险系数 选择和推荐对策 监控和评价对策的应用效果
Guangdong Information Technology Ltd.
12 2002-9-27
24 2002-9-27
脆弱性评估
z
使用设计来评估潜在威胁发生的可能性 和由此引起的损失成本的调查表
Guangdong Information Technology Ltd.
7 2002-9-27
威胁
利用 固有
资产
脆弱性
计算 导致
影响
产生
风险 对策
减少
结果
Guangdong Information Technology Ltd.
8 2002-9-27
影响
揭露 z 更改 z 消除 z 杜绝
z
Guangdong Information Technology Ltd.
财务损失 个人隐私 法律义务 市场地位 运作开销 信誉损失 安全
z z
H/W
替换成本
S/W
组合
Guangdong Information Technology Ltd.
23 2002-9-27
威胁评估
z
使用设计来评估潜在威胁发生可能性的 调查表
Guangdong Information Technology Ltd.
14 2002-9-27
极限性
有很多现成的方法,但即使有这些方法 的完整目录,或可以比较它们,或包括 所有必须的步骤,或包括了所有的信息 系统子资产…
Guangdong Information Technology Ltd.
15 2002-9-27
评估框架
z z z z z z z
用户 年总结 适应范围 H/W需求 S/W需求 必需的用户经验 大小
Guangdong Information Technology Ltd.
18 2002-9-27
因此…
z
风险分析和风险管理方法被认为是进行 交流的可靠的、并且有效的方法
Guangdong Information Technology Ltd.
19 2002-9-27
风险分析 和 风险管理方法
CRAMM 方法
估计 资产 威胁 脆弱性 计算 风险 选择 影响
对策
Guangdong Information Technology Ltd.
13 2002-9-27
结果是…
对一个特定的对策提出行之有效的建议
可以有效的应付潜在的威胁。
Guangdong Information Technology Ltd.
风险分析和风险管理方法 能力与极限
广东科达信息有限公司 Guangdong Information Technology Ltd.
1 2002-9-27
内容
介绍-术语 z 现有风险分析和风险管理方法的优点和 缺点 z CRAMM(英国政府的风险分析和风险 管理方法)-回顾
z
Guangdong Information Technology Ltd.
z z z z z
资产覆盖范围 威胁和脆弱性覆盖 范围 影响分析覆盖范围 评估方法 一套对策
Guangdong Information Technology Ltd.
16 2002-9-27
其他局限
风险分析和风险管理方法不能提供现有 对策的反馈及他们的有效性报告 z 不能提供统计预测而只是提供主观判断
z
Guangdong Information Technology Ltd.
6 2002-9-27
我们怎样估计风险
风险,是一个有以下自变量的函数
• • • •
资产上的价值(金钱) (A) 脆弱性 (V ) 潜在的威胁和种类 ( T) 影响的对象和范围 (I )
因此R(风险)=f(A,T,V,I)
Guangdong Information Technology Ltd.
20 2002-9-27
CRAMM方法
在1986-1987研发 z 最新版本4.1在2001年发布 z 已经在全世界成千上万的评估中应用 z 提供检测方案的能力(what-if) z 提供威胁和对策目录表
z
Guangdong Information Technology Ltd.
对策
物理 z 程序 z 技术 z 人员
z
Guangdong Information Technology Ltd.
10 2002-9-27
风险分析 和 风险管理
风险分析和风险管理方法的优点和缺点
Guangdong Information Technology Ltd.
11 2002-9-27
21 2002-9-27
风险评估完成…
评估资产(比例1:10) z 评估威胁性(比例 1:3) z 评估脆弱性 (比例 1:3) z 影响评估整合在脆弱性评估里面
z
Guangdong Information Technology Ltd.
22 2002-9-27
资产评估
数据
z z z z z z z
4 2002-9-27
主要目的
保护下面的资产
• • • • • • • 硬件 软件 通信设备 周边控制设备 文档 数据和信息 员工
保护信息安全
Guangdong Information Technology Ltd.
5 2002-9-27
信息安全可以/应该保护什么
绝对的安全是不存在的 z 最好的做法是平衡潜在风险成本和实施 对策成本 z 我们需要估计风险成本和估计对策的有 效性的方法,以便可以加以比较
z
Guangdong Information Technology Ltd.
17 2002-9-27
然而…
到目前还没有人提出一个更好的处理风 险的办法 z 使用一个公共的语言使管理层、雇员、 专家之间有了交流的渠道 z 用经济术语代替数学公式进行威胁表达, 在有密集商业活动的组织里有特定的优 势
z
2 2002-9-27
风险分析 和 风险管理方法
介绍-术语
Guangdong Information Technology Ltd.
3 2002-9-27
相关术语
信息安全包括: • 保护信息的机密性 • 保护信息的完整性 • 保护信息的有效性
Guangdong Information Technology Ltd.
风险分析和风险管理方法
z z z z z z z z
建立信息安全的抽象模型 鉴定和Βιβλιοθήκη Baidu计所有的资产 估计对IT用户的影响 分析脆弱性 分析威胁程度 计算风险系数 选择和推荐对策 监控和评价对策的应用效果
Guangdong Information Technology Ltd.
12 2002-9-27
24 2002-9-27
脆弱性评估
z
使用设计来评估潜在威胁发生的可能性 和由此引起的损失成本的调查表
Guangdong Information Technology Ltd.
7 2002-9-27
威胁
利用 固有
资产
脆弱性
计算 导致
影响
产生
风险 对策
减少
结果
Guangdong Information Technology Ltd.
8 2002-9-27
影响
揭露 z 更改 z 消除 z 杜绝
z
Guangdong Information Technology Ltd.
财务损失 个人隐私 法律义务 市场地位 运作开销 信誉损失 安全
z z
H/W
替换成本
S/W
组合
Guangdong Information Technology Ltd.
23 2002-9-27
威胁评估
z
使用设计来评估潜在威胁发生可能性的 调查表
Guangdong Information Technology Ltd.
14 2002-9-27
极限性
有很多现成的方法,但即使有这些方法 的完整目录,或可以比较它们,或包括 所有必须的步骤,或包括了所有的信息 系统子资产…
Guangdong Information Technology Ltd.
15 2002-9-27
评估框架
z z z z z z z
用户 年总结 适应范围 H/W需求 S/W需求 必需的用户经验 大小
Guangdong Information Technology Ltd.
18 2002-9-27
因此…
z
风险分析和风险管理方法被认为是进行 交流的可靠的、并且有效的方法
Guangdong Information Technology Ltd.
19 2002-9-27
风险分析 和 风险管理方法
CRAMM 方法
估计 资产 威胁 脆弱性 计算 风险 选择 影响
对策
Guangdong Information Technology Ltd.
13 2002-9-27
结果是…
对一个特定的对策提出行之有效的建议
可以有效的应付潜在的威胁。
Guangdong Information Technology Ltd.
风险分析和风险管理方法 能力与极限
广东科达信息有限公司 Guangdong Information Technology Ltd.
1 2002-9-27
内容
介绍-术语 z 现有风险分析和风险管理方法的优点和 缺点 z CRAMM(英国政府的风险分析和风险 管理方法)-回顾
z
Guangdong Information Technology Ltd.
z z z z z
资产覆盖范围 威胁和脆弱性覆盖 范围 影响分析覆盖范围 评估方法 一套对策
Guangdong Information Technology Ltd.
16 2002-9-27
其他局限
风险分析和风险管理方法不能提供现有 对策的反馈及他们的有效性报告 z 不能提供统计预测而只是提供主观判断
z
Guangdong Information Technology Ltd.
6 2002-9-27
我们怎样估计风险
风险,是一个有以下自变量的函数
• • • •
资产上的价值(金钱) (A) 脆弱性 (V ) 潜在的威胁和种类 ( T) 影响的对象和范围 (I )
因此R(风险)=f(A,T,V,I)
Guangdong Information Technology Ltd.
20 2002-9-27
CRAMM方法
在1986-1987研发 z 最新版本4.1在2001年发布 z 已经在全世界成千上万的评估中应用 z 提供检测方案的能力(what-if) z 提供威胁和对策目录表
z
Guangdong Information Technology Ltd.