您的位置:360文档中心› 信息安全风险管理资料专题培训课件

信息安全风险管理资料专题培训课件

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第三章 信息安全风险管理1
2、信息安全风险的相关概念 安全风险:特定的威胁利用资产的一种或多种脆弱
性,导致资产的丢失或损害的潜在可能性,即特定威胁 事件发生的可能性与后果的结合。
“风险”:不确定性对目标的影响 (effect of uncertainty on objectives)。
第三章 信息安全风险管理1
第三章 信息安全风险管理1
1、信息安全风险的引入
信 息 安 全 的 不 确 定 性
第三章 信息安全风险管理1
1、信息安全风险的引入
信 息 安 全 的 不 确 定 性
第三章 信息安全风险管理1
1、信息安全风险的引入 绝对安全
冗余的安全措施; 低效的安全投资; 紧张的安全管理人员; 对员工的不信任感。
第三章 信息安全风险管理1
1、信息安全风险的引入
适度安全
?如何确切掌握网络和信息系统的安全程度; ?安全威胁来自何方; ?加强信息安全保障工作应采取哪些措施,要投入多
少人力、财力和物力; ?已采取的信息安全措施是否有效。
第三章 信息安全风险管理1
1、信息安全风险的引入 安全是相对的,风险是绝对的; 安全强度与安全代价寻求平衡点; 安全与开放寻求平衡点。
第三章 信息安全风险管理1
2、信息安全风险的相关概念 资产(Asset)就是被组织赋予了价值、需要保护的有
用资源。 信息资产:数据库和数据文件等 软件资产:应用软件、系统软件等 物理资产:计算机设备、通信设备等 服务:计算和通信服务、通用公用事业等 人力资源:人员及他们的资格、技能和经验等 无形资产:组织的声誉和形象等
依赖
具有
资产
资产价值

全 风
利用
增加
险 评
增加
威胁
未被满足
风险 导出
成本
安全需求
估 指 演变

抵御
降低
被满足

安全事件
残余风险
安全措施
第三章 信息安全风险管理1
3、信息安全风险的基本要素
残余风险(Residual Risk):采取了安全措施, 提高了信息安全保障能力后,仍然可能存在的风 险。
残余风险的提出 风险不可能完全消除 风险不必要完全消除 残余风险应受到密切监视,因为它可能会在将 来诱发新的事件
2、信息安全风险的相关概念
安全风险:特定的威胁利用资产的一种或多种脆弱 性,导致资产的丢失或损害的潜在可能性,即特定威胁 事件发生的可能性与后果的结合。
脆弱性(Vulnerability)就是资产的 弱点或薄弱点,这些弱点可能被威胁利 用造成安全事件的发生,从而对资产造 成损害。
脆弱性也常常被称为漏洞,脆弱性是资产本身所具有的。
2007年4月22日至27日,国际标准化组织技术管理 局风险管理工作组(ISO/TMB/WG Risk Management) 在加拿大渥太华召开了第四次工作组会议。
“风险”:不确定性对目标的影响 (effect of uncertainty on objectives)。
该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊 端,直指风险的本质,准确、全面、易于理解、便于应用。
第三章 信息安全风险管理1
1、信息安全风险的引入 以风险评估为安全建设的出发点。它的重要意义就
在于改变传统的以技术驱动为导向的安全体系结构设计 及详细安全方案制定,采取成本-效益平衡的原则。
第三章 信息安全风险管理1
2、信息安全风险的相关概念
不确定性 影响
目标
“风险”:不确定性对目标的影响 (effect of uncertainty on objectives)。
第三章 信息安全风险管理1
2、信息安全风险的相关概念 信息资产:数据库和数据文件等
•信息资产的分类 •信息的标识和处置
第三章 信息安全风险管理1
2、信息安全风险的相关概念
资产价值(The value of asset) 为明确对资产的保护对其进行估价,其价值大
小既要考虑其自身价值,也要考虑其对组织机构业 务的重要性、一定条件下的潜在价值以及与之相关 的安全保护措施。
2、信息安全风险的相关概念 安全风险:特定的威胁利用资产的一种或多种脆弱
性,导致资产的丢失或损害的潜在可能性,即特定威胁 事件发生的可能性与后果的结合。
威胁(Threat)指可 能对资产或组织造成损 害的事故的潜在原因。
威胁的属性:威胁的主体(威胁源)、能力、资源、 动机、途径、可能性等。
第三章 信息安全风险管理1
第三章 信息安全风险管理1
2、信息安全风险的相关概念 安全风险:特定的威胁利用资产的一种或多种脆弱
性,导致资产的丢失或损害的潜在可能性,即特定威胁 事件发生的可能性与后果的结合。
资产(Asset)就是被组织赋予了 价值、需要保护的有用资源。
每项资产都应该清晰地定义,合理地估价,在组织中明确资产所 有权关系,对资产进行安全分类,并以文件形式详细记录在案。
资产价值体现了其对一个机构的业务的重要程度。
第三章 信息安全风险管理1
2、信息安全风险的相关概念
风险评估(Risk Assessment) 对信息和信息处理设施的威胁、影响(Impact,指安
全事件所带来的直接和间接损失)和脆弱性及三者发生的 可能性的评估。
第三章 信息安全风险管理1
3、信息安全风险的基本要素
ISO/IEC 13335
第三章 信息安全风险管理1
3、信息安全风险的基本要素
图示: A(Asset):资产 V(Vulnerability): 脆 弱性 T(Threat):威胁 S(Safeguard): 保 护 措施 R(Residual Risk):残 余风险 C(Constrains):约束
ISO/IEC 13335 安全要素之间的关系
第三章 信息安全风险管理1
3、信息安全风险的基本要素
威胁


残余风险
措 施
威胁
风险
威胁
残余风险
脆弱性
安全措施 脆弱性
安全措施
资产 脆 弱
脆 弱
性百度文库

脆弱性
安全措施
残余风险
威胁
第三章 信息安全风险管理1
3、信息安全风险的基本要素
业务战略/使命


暴露
息 脆弱性
信息安全风险 管理资料
第三章 信息安全风险管理1
1、信息安全风险的引入 风险是事件未来可能结果发生的不确定性 风险是损失发生的不确定性 风险是指可能发生损失的损害程度的大小 风险是指损失的大小和发生的可能性 风险是由风险构成要素相互作用的结果
第三章 信息安全风险管理1
1、信息安全风险的引入
相关文档
最新文档