信息安全风险管理概述(ppt 101页)_12514
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2021/2/28
5
信息安全风险管理的目的和意 义
信息安全风险管理是信息安全保障工作中的一 项基础性工作 。
1、信息安全风险管理体现在信息安全保障体系 的技术、组织和管理等方面。
2、信息安全风险管理贯穿信息系统生命周期的 全部过程。
3、信息安全风险管理依据等级保护的思想和适 度安全的原则,平衡成本与效益,合理部署和利用信 息安全的信任体系、监控体系和应急处理等重要的基 础设施,确定合适的安全措施,从而确保机构具有完 成其使命的信息安全保障能力。
设计
级
性
实施
别
运维
废弃
信 息 安 全 风 险 管 理
X
Y 信息系统生命周期
2021/2/28
12
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
目特特特
结要
环要
标性性性
构素
境求
2021/2/28
风险 评估
18
风险管理准备
机构的使命
制定风险管理计划
风险管理计划
2021/2/28
19
信息系统调查
机构的使命
机构的业务 机构的组织结构
和管理制度 机构的技术平台
调查信息系统的业务目标 调查信息系统的业务特性 调查信息系统的管理特性 调查信息系统的技术特性
负责信息系统的日常维护,包括维 修和升级。
内
负责信息系统的监视和控制。
角色 主管者 管理者
执行者
监控者
支持层
专业者
外
为信息系统提供专业咨询、培训、 诊断和工具等服务。
专业者
用户层
使用者
2021/2/28
内或外 利用信息系统完成自身的任务。
受益者
信息安全风险管理
内外部
责任
内
负责信息安全风险管理的重 大决策。
信息安全风险管理概述(ppt 101页)
汇报内容
一、前言 二、信息安全风险管理概述 三、信息安全风险管理各组成部分 四、信息安全风险管理的运用 五、结束语
2021/2/28
2
一、前言
2021/2/28
3
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
信息环境
信息环境
信信 息息 环载 境体
信息载体 信息自身 信息载体
信信 息息 载环 体境
信息环境
信息环境
2021/2/28
8
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
负责信息安全风险管理的规
内
划,以及实施和监控 过程中的组织和协调
。ຫໍສະໝຸດ Baidu
内或外
负责信息安全风险管理的实 施。
内 外 内或外
负责信息安全风险管理过程 和结果的监视和控制 。
为信息安全风险管理提供专 业咨询、培训、诊断 和工具等服务。
反馈信息安全风险管理的效 果。
14
三、信息安全风险管理各组成 部分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
2021/2/28
6
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
7
信息安全风险管理的范围和对 象
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
4
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
11
三维结构关系
Z
信 息 安 全 目 标
沟通与咨询 监控与审查
抗 否
对风风审
认 可 性 追
象险险核 确评控批
究 性 可
用
立估制准
性 完
整
保
性 保
规划
障
密
2021/2/28
17
对象确立过程
风险管理 准备
对象确立的沟通与咨询
对象确立的监控与审查
对象确立
信息系统 调查
信息系统 分析
信息安全 分析
制
调调调调
分分
分分
定
查查查查
析析
析析
风
信信信信
信信
信信
险
息息息息
息息
息息
管
系系系系
系系
系系
理
统统统统
统统
统统
计
的的的的
的的
的的
划
业业技管
体关
安安
务务术理
系键
全全
信息系统的 描述报告
2021/2/28
20
信息系统分析
信息系统的 描述报告
分析信息系统的体系结构 分析信息系统的关键要素
信息系统的 分析报告
2021/2/28
21
信息安全分析
相关的政策、法 律、法规和标准
信息系统的 描述报告
信息系统的 分析报告
分析信息系统的安全环境 分析信息系统的安全要求
2021/2/28
13
信息安全风险管理相关人员的角色和责任
层面 决策层 管理层
执行层
角色 主管者
管理者
建设者 运行者 维护者 监控者
内外部 内
信息系统
责任
负责信息系统的重大决策。
负责信息系统的规划,以及建设、
内
运行、维护和监控等方面的
组织和协调。
内或外 负责信息系统的设计和实施。
内 内或外
负责信息系统的日常运行和操作。
2021/2/28
15
三、信息安全风险管理各组成 部分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
2021/2/28
16
对象确立概述
对象确立是信息安全风险管理的第 一步骤,根据要保护系统的业务目标和特 性,确定风险管理对象。其目的是为了明 确信息安全风险管理的范围和对象,以及 对象的特性和安全要求。
2021/2/28
9
信息安全风险管理的内容和过 程
沟通与咨询
对象 确立
沟
通 与 咨
审核 批准
询
监控 与
审查
沟
风险 评估
通 与 咨
询
风险 控制
沟通与咨询
2021/2/28
10
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周