【风险管理】信息安全与风险管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
润亲以及环境控制。
安全指标
安全的基本原则
可用性
完整性
安全原 则
安全管理和支持控制
机密性
保密性(Confidentiality):确保信息在存 储、使用、传输过程中不会泄露给非授权 用户或实体。
完整性(Integrity):确保信息在存储、使 用、传输过程中不会被非授权篡改,防止 授权用户或实体不恰当的修改信息,保持 信息内部和外部的一致性。
确表述。 • 依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、
机密性和可用性。 • 使用一定的手段对安全风险进行评估和分析。 • 必要的资源、资金和战略代表需要参与到安全计划中来
自顶向下的方法
盖房子
• 确定蓝图 • 构建房基 • 构建框架 • 装修,详细的房
每个模型都是不相同的, 但是所有的模型都分层; 每层都为其上层提供支 持并未下层提供保护。
安全管理和支持控制
安全规划
安全规划可以分为三个不同的领域:战略、战术、运作规划。
• 战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更 加广阔,其期限可能长达五年。
• 战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与 战略计划相比,战略规划的时间更短,或者其远景时间更短。
安全管理和支持控制
应用概念的顺序
安全框架
业务对象
完整性 完整性
定量和 定性风 险评估
保护
需求
风险 分析 数据 分级
定义风 险和威
胁
功能性 评价
法律 安全 系统可 策略和
责任 意识 靠性
规程
代价合理的 解决方案
安全措 施
对策
机密性
完整性
可用性
总体安全
机构安全模型包括许多 实体、保护机制、逻辑 和物理组件、规程和配 置组成这些因素在一起 相互协作,能够为系统 提供一定的安全级别。
间的布置
制定安全计划
• 根据上级的主导 思想和条款制定 “蓝图”
• 开发和执行支持 这个安全策略的 规程、标准和方 针
• 确定安全组件、 构建安全过程
• 详细的配置设置 和系统参数
安全管理
自底向上的方法: 在没有足够的管理层支持 和知道的时候,IT部门荣 祥指定安全计划,就可以 使用自底向上的方法; 自底向上的方法通产不会 很有效,不占主流,而且 往往会失败。
算机或某个网络,并在这个系统中 对资源进行未经授权的访问。
威 胁
威胁(Threat)是威胁因素利用 错若星所造成的损失的潜能或是可 能性。
暴 暴露(Exposure)是因威胁因素 露 而遭受损失的一个案例。
对 对策(countermeasure)或者安 策 全措施,可以减轻潜在的风险。
安全措施
不能够被预防,通过
• 运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准 确日期和时间表,以及如果完成这些目标的特别指导。
安全管理和支持控制
机构安全框架
在网络中评估这些概念的正确顺序为:威胁、暴露、 脆弱性、对策,最后为风险。这是因为:如果具有某 种威胁(新的SQL攻击),但是除非你所在公司存在对 应的脆弱性(采用必要配置的SQL服务器),否则公司 不会暴露在威胁之中,这也不会形成脆弱性。如果环 境中确实存在脆弱性,就应该采取对应策略,以降低 风险。
管理职责
• 管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。 • 管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。
影响安全计划的因素
• 管理上的支持是安全计划最重要的因素之一。 • 从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正
信息安全与风险管理
安全管理
安全管理主要内容及概述
安全教 育
风险管 理
信息安 全策略
安全组 织
安全管 理
信息分 级
基线
方针
规程 标准
安全计划是公司的安全管理的核心 组成部分,目的是保护公司财产。
风险分析是确定公司财产,发现构 成威胁的风险并评估这些危险变成 现实的时可能承受的危害和损失, 风险分析的结果帮助管理者采取可 行的安全策略,为在公司中发生的 活动提供安全方面的指导,说明安 全管理在公司安全计划中的价值。
接下来是 最后一
加强意识,步是实
这包括让 施解决
企业中的 所有相关
前面定
人员了解 义的风
需要处理 险和需
的问题。 求的策
略和控
制。
然后这 个循环 再次从 头开始。
安全管理
安全管理职责
安全计划 安全计划须包括目标、范围、方针、优先级、标准和策略。 资源有人力资源、资本、硬件以及信息等多种形式。
可用性(Availability):确保授权用户或实 体对信息及资源的正常使用不会被异常拒 绝,允许其可靠而及时地访问信息及资源。
安全管理和支持控制
安全定义
引起
威胁因素
直
威胁
接
作
用
到
利用
脆弱性
导致
风险
可以破坏
资产
暴露
并且引起一个
脆弱性(Vulnerability)是一种软 脆 件、硬件或是过程缺陷,这种缺陷 弱 也许会给攻击者提供正在寻找的方 性 便之门,这样他就能够进入某台计
安全教育将上面的信息灌输给公司 中的每个员工,这样,每一个人都 受到教育,从而能够更容易的朝着 同一个安全目标前进。
安全管理过程
实施策略和 控制
加强意识
安全管理
评定风险和 确定需求
监控和评估
安全管理过程是一个不断循环的过程;
首先从 评估风 险和确 定需求 开始;
然后监 控和评 估相关 系统和 事件;
自顶向下的方法: 这个过程坚实系统性的, 需要较少的时间、金钱和 资源,而且能够在功能和 安全保护之间达到合理的 平和。
安全管理和支持控制
管ቤተ መጻሕፍቲ ባይዱ的、技术的和物理的控制相互协作
物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测 技术控制:逻辑访问控制、加密、安全设备、鉴别和认证 管理控制:策略、标准、规程、方针、屏蔽人员、安全 意识培训
公司数据和财产
安全指标
安全管理和支持控制
管理控制:包括开发和 发布策略、标准、规程 以及准则、风险管理, 此外还有赛选人员、安 全意识培训和变更控制
过程。
技术控制:包括访问控 制机制、密码和资源管 理、鉴别和认证方法、 按去哪设别以及配置基
础架构
物理控制:包括控制个 人访问设施和各部门, 锁定系统,取出不必需 要的软驱和CD-ROM驱 动器、保护设施、检测
安全指标
安全的基本原则
可用性
完整性
安全原 则
安全管理和支持控制
机密性
保密性(Confidentiality):确保信息在存 储、使用、传输过程中不会泄露给非授权 用户或实体。
完整性(Integrity):确保信息在存储、使 用、传输过程中不会被非授权篡改,防止 授权用户或实体不恰当的修改信息,保持 信息内部和外部的一致性。
确表述。 • 依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、
机密性和可用性。 • 使用一定的手段对安全风险进行评估和分析。 • 必要的资源、资金和战略代表需要参与到安全计划中来
自顶向下的方法
盖房子
• 确定蓝图 • 构建房基 • 构建框架 • 装修,详细的房
每个模型都是不相同的, 但是所有的模型都分层; 每层都为其上层提供支 持并未下层提供保护。
安全管理和支持控制
安全规划
安全规划可以分为三个不同的领域:战略、战术、运作规划。
• 战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更 加广阔,其期限可能长达五年。
• 战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与 战略计划相比,战略规划的时间更短,或者其远景时间更短。
安全管理和支持控制
应用概念的顺序
安全框架
业务对象
完整性 完整性
定量和 定性风 险评估
保护
需求
风险 分析 数据 分级
定义风 险和威
胁
功能性 评价
法律 安全 系统可 策略和
责任 意识 靠性
规程
代价合理的 解决方案
安全措 施
对策
机密性
完整性
可用性
总体安全
机构安全模型包括许多 实体、保护机制、逻辑 和物理组件、规程和配 置组成这些因素在一起 相互协作,能够为系统 提供一定的安全级别。
间的布置
制定安全计划
• 根据上级的主导 思想和条款制定 “蓝图”
• 开发和执行支持 这个安全策略的 规程、标准和方 针
• 确定安全组件、 构建安全过程
• 详细的配置设置 和系统参数
安全管理
自底向上的方法: 在没有足够的管理层支持 和知道的时候,IT部门荣 祥指定安全计划,就可以 使用自底向上的方法; 自底向上的方法通产不会 很有效,不占主流,而且 往往会失败。
算机或某个网络,并在这个系统中 对资源进行未经授权的访问。
威 胁
威胁(Threat)是威胁因素利用 错若星所造成的损失的潜能或是可 能性。
暴 暴露(Exposure)是因威胁因素 露 而遭受损失的一个案例。
对 对策(countermeasure)或者安 策 全措施,可以减轻潜在的风险。
安全措施
不能够被预防,通过
• 运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准 确日期和时间表,以及如果完成这些目标的特别指导。
安全管理和支持控制
机构安全框架
在网络中评估这些概念的正确顺序为:威胁、暴露、 脆弱性、对策,最后为风险。这是因为:如果具有某 种威胁(新的SQL攻击),但是除非你所在公司存在对 应的脆弱性(采用必要配置的SQL服务器),否则公司 不会暴露在威胁之中,这也不会形成脆弱性。如果环 境中确实存在脆弱性,就应该采取对应策略,以降低 风险。
管理职责
• 管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。 • 管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。
影响安全计划的因素
• 管理上的支持是安全计划最重要的因素之一。 • 从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正
信息安全与风险管理
安全管理
安全管理主要内容及概述
安全教 育
风险管 理
信息安 全策略
安全组 织
安全管 理
信息分 级
基线
方针
规程 标准
安全计划是公司的安全管理的核心 组成部分,目的是保护公司财产。
风险分析是确定公司财产,发现构 成威胁的风险并评估这些危险变成 现实的时可能承受的危害和损失, 风险分析的结果帮助管理者采取可 行的安全策略,为在公司中发生的 活动提供安全方面的指导,说明安 全管理在公司安全计划中的价值。
接下来是 最后一
加强意识,步是实
这包括让 施解决
企业中的 所有相关
前面定
人员了解 义的风
需要处理 险和需
的问题。 求的策
略和控
制。
然后这 个循环 再次从 头开始。
安全管理
安全管理职责
安全计划 安全计划须包括目标、范围、方针、优先级、标准和策略。 资源有人力资源、资本、硬件以及信息等多种形式。
可用性(Availability):确保授权用户或实 体对信息及资源的正常使用不会被异常拒 绝,允许其可靠而及时地访问信息及资源。
安全管理和支持控制
安全定义
引起
威胁因素
直
威胁
接
作
用
到
利用
脆弱性
导致
风险
可以破坏
资产
暴露
并且引起一个
脆弱性(Vulnerability)是一种软 脆 件、硬件或是过程缺陷,这种缺陷 弱 也许会给攻击者提供正在寻找的方 性 便之门,这样他就能够进入某台计
安全教育将上面的信息灌输给公司 中的每个员工,这样,每一个人都 受到教育,从而能够更容易的朝着 同一个安全目标前进。
安全管理过程
实施策略和 控制
加强意识
安全管理
评定风险和 确定需求
监控和评估
安全管理过程是一个不断循环的过程;
首先从 评估风 险和确 定需求 开始;
然后监 控和评 估相关 系统和 事件;
自顶向下的方法: 这个过程坚实系统性的, 需要较少的时间、金钱和 资源,而且能够在功能和 安全保护之间达到合理的 平和。
安全管理和支持控制
管ቤተ መጻሕፍቲ ባይዱ的、技术的和物理的控制相互协作
物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测 技术控制:逻辑访问控制、加密、安全设备、鉴别和认证 管理控制:策略、标准、规程、方针、屏蔽人员、安全 意识培训
公司数据和财产
安全指标
安全管理和支持控制
管理控制:包括开发和 发布策略、标准、规程 以及准则、风险管理, 此外还有赛选人员、安 全意识培训和变更控制
过程。
技术控制:包括访问控 制机制、密码和资源管 理、鉴别和认证方法、 按去哪设别以及配置基
础架构
物理控制:包括控制个 人访问设施和各部门, 锁定系统,取出不必需 要的软驱和CD-ROM驱 动器、保护设施、检测