信息安全风险管理培训教材.ppt
《信息安全风险管理培训教材.ppt》由会员分享,可在线阅读,更多相关《信息安全风险管理培训教材.ppt(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第三章第三章 信息安全风险管理信息安全风险管理主讲:焦杨学习目标:学习目标:定义风险管理、风险识别、风险控制;定义风险管理、风险识别、风险控制;理解如何识别和评估风险;理解如何识别和评估风险;评估风险发生的可能性及其对机构的影响;评估风险发生的可能性及其对机构的影响;通过创建风险评估机制,掌握描述风险的基本通过创建风险评估机制,掌握描述风险的基本方法;方法;描述控制风险的风险减轻策略;描述控制风险的风险减轻策略;识别控制的类别;识别控制的类别;承认评估风险控制存在的概念框架,并能清楚承认评估风险控制存在的概念框架,并能清楚地阐述成本收益分析;地阐述成本收益分析;理解如何维护风险控制理解如何维护
2、风险控制3.1 引言引言风险管理:识别和控制机构面临风险的过程风险管理:识别和控制机构面临风险的过程。1.风险识别:检查和说明机构信息技术的风险识别:检查和说明机构信息技术的安全态势和机构面临的风险。安全态势和机构面临的风险。(风险评估就是说明风险识别的结果)(风险评估就是说明风险识别的结果)2.风险控制:采取控制手段,减少机构数风险控制:采取控制手段,减少机构数据和信息系统的风险。据和信息系统的风险。风险管理整个过程:找出机构信息系统风险管理整个过程:找出机构信息系统中的漏洞,采取适当的步骤,确保机构中的漏洞,采取适当的步骤,确保机构信息系统中所有组成部分的机密性、完信息系统中所有组成部分的
3、机密性、完整性和有效性。整性和有效性。3.2风险管理概述风险管理概述3.2.1 知己知己识别、检查和熟悉机构中当前的信息及系统。3.2.2 知彼知彼识别、检查和熟悉机构面临的威胁。3.2.3 利益团体的作用利益团体的作用 1.信息安全信息安全 信息安全团队组成:最了解把风险带入机构的威胁和攻击的成员 2.管理人员管理人员 确保给信息安全和信息技术团体分配充足资源(经费和人员),以满足机构的安全需要。3.信息技术信息技术 建立安全的系统,并且安全地操作这些系统信息安全保护的对象是什么?信息安全保护的对象是什么?资产 资产是各种威胁以及威胁代理的目标。风险管理的目标就是保护资产不受威胁。3.3风险
4、识别风险识别风险识别:风险识别:规划并组织过程、对系统组件进行分类、列出资产清单并分类、识别出威胁、指出易受攻击的资产。风险评估风险评估:为资产受到的攻击赋值、评估漏洞攻击的可能性、计算资产的相对风险因素、检查可能的控制措施、记录所发现的事件。风风险险识识别别风风险险评评估估3.3.1 资产识别和评估资产识别和评估1.人员、过程及数据资产的识别人员、过程及数据资产的识别(1)人员)人员(2)过程)过程(3)数据)数据2.硬件、软件和网络资产的识别硬件、软件和网络资产的识别3.3.2 信息资产分类信息资产分类传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人
5、员陌生人过程过程IT及商业标准过程IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组建因特网或DMZ组件3.3.3 信息资产评估信息资产评估 评估资产的价值。评估价值标准:1.哪一项信息资产对于成功是最关键的?2.那一项信息资产创造的收效最多?3.哪一项资产的获利最多?4.哪一项信息资产在替换时最昂贵?5.哪一项信息资产的保护费用最高?6.哪一项信息资产是最麻烦的,或者泄漏后麻烦最大?3.3.4 安全调查安全调查数据分类技术个人安全调查机构 给每一个数据用户分配一个单一的授权等级3.3.5 分类数据管理分类数据管理 1.
6、数据的存储 2.数据的分布移植 3.数据的销毁清洁桌面政策:要求员工在下半时将所有的信息清洁桌面政策:要求员工在下半时将所有的信息 放到适当的存储器中。放到适当的存储器中。3.3.6 威胁识别和威胁评估威胁识别和威胁评估威 胁实 例1.人为过时或失败行为意外事故、员工过失2.侵害知识产权盗版、版权侵害3.间谍或人侵蓄意行为未授权访问和收集数据4.蓄意信息敲诈行为以泄露信息为要挟进行勒索5.蓄意破坏行为破坏系统或信息6.蓄意窃取行为非法使用硬件设备或信息7.蓄意软件攻击病毒、蠕虫、宏、拒绝服务8.自然灾害火灾、水灾、地震、闪电9.服务提供商的服务质量差电源及WAN服务问题10.技术硬件故障或错误
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 管理 培训教材
限制150内