信息安全风险管理概述(ppt 101页)_12514

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2021/2/28
5
信息安全风险管理的目的和意 义
信息安全风险管理是信息安全保障工作中的一 项基础性工作 。
1、信息安全风险管理体现在信息安全保障体系 的技术、组织和管理等方面。
2、信息安全风险管理贯穿信息系统生命周期的 全部过程。
3、信息安全风险管理依据等级保护的思想和适 度安全的原则,平衡成本与效益,合理部署和利用信 息安全的信任体系、监控体系和应急处理等重要的基 础设施,确定合适的安全措施,从而确保机构具有完 成其使命的信息安全保障能力。
设计


实施

运维
废弃
信 息 安 全 风 险 管 理
X
Y 信息系统生命周期
2021/2/28
12
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
目特特特
结要
环要
标性性性
构素
境求
2021/2/28
风险 评估
18
风险管理准备
机构的使命
制定风险管理计划
风险管理计划
2021/2/28
19
信息系统调查
机构的使命
机构的业务 机构的组织结构
和管理制度 机构的技术平台
调查信息系统的业务目标 调查信息系统的业务特性 调查信息系统的管理特性 调查信息系统的技术特性
负责信息系统的日常维护,包括维 修和升级。

负责信息系统的监视和控制。
角色 主管者 管理者
执行者
监控者
支持层
专业者

为信息系统提供专业咨询、培训、 诊断和工具等服务。
专业者
用户层
使用者
2021/2/28
内或外 利用信息系统完成自身的任务。
受益者
信息安全风险管理
内外部
责任

负责信息安全风险管理的重 大决策。
信息安全风险管理概述(ppt 101页)
汇报内容
一、前言 二、信息安全风险管理概述 三、信息安全风险管理各组成部分 四、信息安全风险管理的运用 五、结束语
2021/2/28
2
一、前言
2021/2/28
3
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
信息环境
信息环境
信信 息息 环载 境体
信息载体 信息自身 信息载体
信信 息息 载环 体境
信息环境
信息环境
2021/2/28
8
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
负责信息安全风险管理的规

划,以及实施和监控 过程中的组织和协调
。ຫໍສະໝຸດ Baidu
内或外
负责信息安全风险管理的实 施。
内 外 内或外
负责信息安全风险管理过程 和结果的监视和控制 。
为信息安全风险管理提供专 业咨询、培训、诊断 和工具等服务。
反馈信息安全风险管理的效 果。
14
三、信息安全风险管理各组成 部分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
2021/2/28
6
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
7
信息安全风险管理的范围和对 象
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
4
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
期和信息安全目标的关系 5、 信息安全风险管理的角色和责任
2021/2/28
11
三维结构关系
Z
信 息 安 全 目 标
沟通与咨询 监控与审查
抗 否
对风风审
认 可 性 追
象险险核 确评控批
究 性 可

立估制准
性 完


性 保
规划


2021/2/28
17
对象确立过程
风险管理 准备
对象确立的沟通与咨询
对象确立的监控与审查
对象确立
信息系统 调查
信息系统 分析
信息安全 分析

调调调调
分分
分分

查查查查
析析
析析

信信信信
信信
信信

息息息息
息息
息息

系系系系
系系
系系

统统统统
统统
统统

的的的的
的的
的的

业业技管
体关
安安
务务术理
系键
全全
信息系统的 描述报告
2021/2/28
20
信息系统分析
信息系统的 描述报告
分析信息系统的体系结构 分析信息系统的关键要素
信息系统的 分析报告
2021/2/28
21
信息安全分析
相关的政策、法 律、法规和标准
信息系统的 描述报告
信息系统的 分析报告
分析信息系统的安全环境 分析信息系统的安全要求
2021/2/28
13
信息安全风险管理相关人员的角色和责任
层面 决策层 管理层
执行层
角色 主管者
管理者
建设者 运行者 维护者 监控者
内外部 内
信息系统
责任
负责信息系统的重大决策。
负责信息系统的规划,以及建设、

运行、维护和监控等方面的
组织和协调。
内或外 负责信息系统的设计和实施。
内 内或外
负责信息系统的日常运行和操作。
2021/2/28
15
三、信息安全风险管理各组成 部分
1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查
2021/2/28
16
对象确立概述
对象确立是信息安全风险管理的第 一步骤,根据要保护系统的业务目标和特 性,确定风险管理对象。其目的是为了明 确信息安全风险管理的范围和对象,以及 对象的特性和安全要求。
2021/2/28
9
信息安全风险管理的内容和过 程
沟通与咨询
对象 确立

通 与 咨
审核 批准

监控 与
审查

风险 评估
通 与 咨

风险 控制
沟通与咨询
2021/2/28
10
二、信息安全风险管理概述
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周
相关文档
最新文档