信息安全风险评估与风险管理.ppt

信息安全风险评估与风险管理 国家信息中心信息安全服务与研究中心范红二00四年九月 2019 12 30 2 汇报内容 一 前言二 信息安全风险管理概述三 信息安全风险管理各组成部分四 信息安全风险管理的运用五 结束语 2019 12 30 3 一 前言 2019 12 30 4 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 5 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 6 信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一项基础性工作 1 信息安全风险管理体现在信息安全保障体系的技术 组织和管理等方面 2 信息安全风险管理贯穿信息系统生命周期的全部过程 3 信息安全风险管理依据等级保护的思想和适度安全的原则 平衡成本与效益 合理部署和利用信息安全的信任体系 监控体系和应急处理等重要的基础设施 确定合适的安全措施 从而确保机构具有完成其使命的信息安全保障能力 2019 12 30 7 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 8 信息安全风险管理的范围和对象 2019 12 30 9 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 10 信息安全风险管理的内容和过程 2019 12 30 11 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 12 三维结构关系 2019 12 30 13 二 信息安全风险管理概述 1 信息安全风险管理的目的和意义2 信息安全风险管理的范围和对象3 信息安全风险管理的内容和过程4 信息安全风险管理与信息系统生命周期和信息安全目标的关系5 信息安全风险管理的角色和责任 2019 12 30 14 信息安全风险管理相关人员的角色和责任 2019 12 30 15 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 沟通与咨询6 监控与审查 2019 12 30 16 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 沟通与咨询6 监控与审查 2019 12 30 17 对象确立概述 对象确立是信息安全风险管理的第一步骤 根据要保护系统的业务目标和特性 确定风险管理对象 其目的是为了明确信息安全风险管理的范围和对象 以及对象的特性和安全要求 2019 12 30 18 对象确立过程 2019 12 30 19 风险管理准备 2019 12 30 20 信息系统调查 2019 12 30 21 信息系统分析 2019 12 30 22 信息安全分析 2019 12 30 23 对象确立的文档 2019 12 30 24 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 沟通与咨询6 监控与审查 2019 12 30 25 风险评估概述 风险评估是信息安全风险管理的第二步 针对确立的风险管理对象所面临的风险进行识别 分析和评价 2019 12 30 26 风险评估过程 2019 12 30 27 风险评估准备 2019 12 30 28 风险因素识别 2019 12 30 29 风险程度分析 2019 12 30 30 风险等级评价 2019 12 30 31 风险评估的文档 2019 12 30 32 风险评估的文档 2019 12 30 33 风险评估的文档 2019 12 30 34 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 沟通与咨询6 监控与审查 2019 12 30 35 风险控制概述 风险控制是信息安全风险管理的第三步骤 依据风险评估的结果 选择和实施合适的安全措施 风险控制方式主要有规避 转移和降低三种方式 2019 12 30 36 风险控制需求及其相应的风险控制措施 2019 12 30 37 主要的风险控制需求及其相应的风险控制措施 2019 12 30 38 主要的风险控制需求及其相应的风险控制措施 2019 12 30 39 主要的风险控制需求及其相应的风险控制措施 2019 12 30 40 风险控制过程 2019 12 30 41 现存风险判断 2019 12 30 42 控制目标确立 2019 12 30 43 控制措施选择 2019 12 30 44 控制措施实施 2019 12 30 45 风险控制的文档 2019 12 30 46 风险控制的文档 2019 12 30 47 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 沟通与咨询6 监控与审查 2019 12 30 48 审核批准概述 审核批准是信息安全风险管理的第四步骤 审核批准包括审核和批准两部分 审核是指通过审查 测试 评审等手段 检验风险评估和风险控制的结果是否满足信息系统的安全要求 批准是指机构的决策层依据审核的结果 做出是否认可的决定 审核既可以由机构内部完成 也可以委托外部专业机构来完成 这主要取决于信息系统的性质和机构自身的专业能力 批准一般必须由机构内部或更高层的主管机构的决策层来执行 2019 12 30 49 审核批准过程及其在信息安全风险管理中的位置 2019 12 30 50 审核申请 2019 12 30 51 审核处理 2019 12 30 52 批准申请 2019 12 30 53 批准处理 2019 12 30 54 持续监督 2019 12 30 55 审核批准的文档 2019 12 30 56 审核批准的文档 2019 12 30 57 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 监控与审查6 沟通与咨询 2019 12 30 58 监控与审查的概述 监控与审查对信息安全风险管理主循环的四个步骤 即对象确立 风险评估 风险控制和审核批准 进行监控和审查 监控是监视和控制 一是监视和控制风险管理过程 即过程质量管理 以保证过程的有效性 二是分析和平衡成本效益 即成本效益管理 以保证成本的有效性 审查是跟踪受保护系统自身或所处环境的变化 以保证结果的有效性 2019 12 30 59 监控与审查过程 2019 12 30 60 贯穿对象确立 2019 12 30 61 贯穿风险评估 2019 12 30 62 贯穿风险评估 2019 12 30 63 贯穿风险控制 2019 12 30 64 贯穿风险控制 2019 12 30 65 贯穿审核批准 2019 12 30 66 贯穿审核批准 2019 12 30 67 监控与审查的文档 2019 12 30 68 三 信息安全风险管理各组成部分 1 对象确立2 风险评估3 风险控制4 审核批准5 监控与审查6 沟通与咨询 2019 12 30 69 沟通与咨询的概述 沟通与咨询为信息安全风险管理主循环的四个步骤 即对象确立 风险评估 风险控制和审核批准 中相关人员提供沟通和咨询 沟通是为直接参与人员提供交流途径 以保持他们之间的协调一致 共同实现安全目标 咨询是为所有相关人员提供学习途径 以提高他们的风险意识 知识和技能 配合实现安全目标 2019 12 30 70 沟通与咨询的方式 2019 12 30 71 沟通与咨询的过程 2019 12 30 72 贯穿对象确立 2019 12 30 73 贯穿风险评估 2019 12 30 74 贯穿风险评估 2019 12 30 75 贯穿风险控制 2019 12 30 76 贯穿风险控制 2019 12 30 77 贯穿审核批准 2019 12 30 78 贯穿审核批准 2019 12 30 79 沟通与咨询的文档 2019 12 30 80 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 81 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 82 安全需求和目标 明确安全总体方针确保安全总体方针源自业务期望明确项目范围清晰描述项目范围内所涉及系统的安全现状提交明确的安全需求文档清晰描述从系统的那些层次进行安全实现对实现的可能性进行充分分析 论证明确评价准则并达成一致 2019 12 30 83 风险管理的过程概述 在项目规划阶段 风险管理者应能清楚 准确地描述机构的安全总体方针 安全策略 风险管理范围 当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等 2019 12 30 84 风险管理的活动 2019 12 30 85 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 86 安全需求和目标 对用以实现安全系统的各类技术进行有效性评估 对用于实施方案的产品需满足安全保护等级的要求对自开发的软件要在结构设计阶段就充分考虑安全风险 2019 12 30 87 风险管理的过程概述 在设计阶段 风险管理者应能标识出在项目结构实现过程中潜在的安全风险 为设计说明中的安全性设计提供评判依据 并对实施方案中选择的产品进行合格检查 确保项目设计阶段的重要环节均能得到较好的安全风险控制 2019 12 30 88 风险管理的活动 2019 12 30 89 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 90 安全需求和目标 实施阶段是按照规划和设计阶段所定义的信息系统实施方案 采购设备和软件 开发定制功能 集成 部署 配置和测试系统 培训人员 并对是否允许系统投入运行进行审核批准 2019 12 30 91 风险管理的过程概述 实施阶段的风险管理主要活动包括检查与配置 安全测试 人员培训及授权运行 同时在上述过程中通过监控与审查 沟通与咨询来确保本阶段风险管理目标的实现 2019 12 30 92 风险管理的活动 2019 12 30 93 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 94 安全需求和目标 运行维护阶段是在信息系统经过授权投入运行之后 通过风险管理的相关过程和活动 确保信息系统在运行过程中 以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性 2019 12 30 95 风险管理的过程概述 运行维护阶段的风险管理主要活动包括安全运行和管理 变更管理 风险再评估 定期重新审批 同时在上述过程中通过监控与审查 沟通与咨询来确保本阶段风险管理目标的实现 2019 12 30 96 运行维护阶段风险管理活动的流程 2019 12 30 97 四 信息安全风险管理的运用 1 规划阶段2 设计阶段3 实施阶段4 运维阶段5 废弃阶段 2019 12 30 98 安全需求和目标 废弃阶段是对信息系统的过时或无用部