风险评估概述.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.4 风险的要素
风险的四个要素:
资产及其价值 威胁 脆弱性 现有的和计划的控制措施
1.4 风险的要素
资产
资产是任何对组织有价值的东西 信息也是一种资产,对组织具有价值
1.4 风险的要素
资产的分类
电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉
频率 Frequency
以规定时间内所发生的次数来表达的事件发生率的度量。
1.3 风险的定义
ISO/IEC TR 13335-1:1996 安全风险:是指一种特定的威胁利用一种或一组脆弱 性造成组织的资产损失或损害的可能性。
Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets.
1. 请列举五个信息安全的风险的例子, 并按下面的要求进行描述。
2. 要求:
✓ 按照资产->资产所面临的威胁->可能被 威胁利用的脆弱点的顺序来描述每一个风 险。
练习二 定性的风险评估
1. 对练习一中所识别的风险进行定性分析。 2. 要求:
1)列出后果和可能性的定性描述级别 2)依据风险分析矩阵评估风险的级别 3)给出各级别风险的处理措施
1.3 风险的定义
在信息安全领域,什么是风险?
1.3 风险的定义
信息安全的定义(ISO17799):
Information security is characterized here as the preservation of: a) Confidentiality b) Integrity c) Availability
1.2 风险评估的目的
风险评估的目的
了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据 组织实现信息安全的必要的、重要的步骤
1.3 风险的定义
普通字典的解释: 风险:遭受损害或损失的可能性。
1.3 风险的定义
AS/NZS 4360:澳大利亚/新西兰国家标准:
风险评估
课程内容
1 认识风险 2 风险管理体系 3 风险评估方法 4 风险评估的实施过程
课程内容
1 认识风险
1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素
课程内容
2 风险管理体系
2.1 风险管理的概念 2.2 风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68
练习三 基于要素的风险评估
背景:
– 业务部门中有极机密的交易及客户资料 – 这些资料放在公司共用的主机内,并且使用简单的用
户名和密码系统管理 – 业务部门的业务员外出时可利用笔记本电脑经由国际
互联网到公司主机中存取该资料
请分组讨论
– 威胁 – 脆弱性 – 风险等级如何?
注意事项
- 积极参与,活跃气氛 - 守时 - 移动电话设置到静音状态 - 紧急情况下有秩序疏散
信息安全的三个特征: 保密性:确保只有被授权的人才可以访问信息; 完整性:确保信息和信息处理方法的准确性和完整性; 可用性:确保在需要时,被授权的用户可以访问信息和相关 的资产。
1.3 风险的定义
信息安全风险
信息安全风险是指信息资产的保密性、完整性和可用 性遭到破坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。
课程内容
3 风险评估的方法
3.1 风险评估方法概述 3.2 定量的风险评估 3.3 定性的风险评估 3.4 基于要素的风险评估 3.5 定性风险评估与定量评估的比较
百度文库 课程内容
4 OCTAVE风险评估的实施过程
课程练习
练习1 识别风险 练习2 定性的风险评估 练习3 基于要素的风险评估
练习一 识别风险
1.4 风险的要素
脆弱性
是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害,但是在一定条件
得到满足时,脆弱性会被威胁加以利用来对信息资 产造成危害。
1.4 风险的要素
脆弱性举例:
✓ 系统漏洞 ✓ 程序Bug ✓ 专业人员缺乏 ✓ 不良习惯 ✓ 系统没有进行安全配置
✓ 物理环境不安全 ✓ 缺少审计 ✓ 缺乏安全意识 ✓ 后门 ✓ ……
1.4 风险的要素
威胁
威胁是可能导致信息安全事故和组织信息资产损失 的活动
威胁是利用脆弱性来造成后果
1.4 风险的要素
威胁举例:
✓ 黑客入侵和攻击 ✓ 病毒和其他恶意程序 ✓ 软硬件故障 ✓ 人为误操作 ✓ 自然灾害如:地震、火灾、爆
炸等
✓ 盗窃 ✓ 网络监听 ✓ 供电故障 ✓ 后门 ✓ 未授权访问……
1.4 风险的要素
风险要素之间的相互关系:
1.4 风险的要素
威胁视图:
1.4 风险的要素
脆弱性视图:
1.4 风险的要素
影响视图:
练习一 识别风险
1. 请列举五个信息安全的风险的例子, 并按下面的要求进行描述。
风险:对目标产生影响的某种事件发生的机会。它可以 用后果和可能性来衡量。 Risk: the chance of something happening that will have on impact upon objectives. It is measured in terms of consequences and likelihood.
1 认识风险
1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素
1.1 重要参考资料
ISO 13335 17799 15408
BS 7799-2 BSI PD3000 AS/NZS 4360 OCTAVE GAO/AIMD 98-68
1.2 风险评估的目的
组织为什么要进行风险评估?
1.3 风险的定义
与风险有关的名词:
后果 Consequence
以定性或定量方式表示的一个事件的结果,可以是损害、伤 害、失利或获利。
可能性 Likelihood
用作对几率或频率的定性描述。
几率 Probability
以事件或结果与可能发生事件或结果的总数之比来度量事件 或结果的可能性。用数字0或者1来表达。