优质信息技术课件推选信息安全风险评估实施流程.ppt
《优质信息技术课件推选信息安全风险评估实施流程.ppt》由会员分享,可在线阅读,更多相关《优质信息技术课件推选信息安全风险评估实施流程.ppt(72页珍藏版)》请在启牛文库网上搜索。
1、信息安全风险评估实施流程信息安全风险评估实施流程执教教师:XXX5.1 风险评估的准备 5.2 资产识别 5.3 脆弱性识别 5.4 已有安全措施确认5.5 风险分析5.6 风险处理计划5.7 风险评估文件记录5.8 本章作业信息安全风险评估实施流程信息安全风险评估实施流程 信息安全风险评估信息安全风险评估是从风险管理风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统网络与信息系统所面临的威胁威胁及其存在的脆弱性脆弱性,评估安全事件一旦发生可能造成的危害程危害程度度,为防范和化解信息安全风险防范和化解信息安全风险,或者将风险控制风险控制在可以接受的水平,制定针对性的抵御威胁的防护对策
2、抵御威胁的防护对策和整改措整改措施施以最大限度地保障网络和信息安全提供科学依据。 在信息化建设中,各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障,由于其可能存在软硬件设备缺陷、系统集成缺软硬件设备缺陷、系统集成缺陷陷等,以及信息安全管理中潜在的薄弱环节,都将导致不同程度的安全风险。信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患,并为增强安全性提供有效建议,以便采取更加经济、更加有力的安全保障措施,提高信息安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。 信息安全风险评估在具体实施中一般包括风险评估的准风险评估的准备活动备活动,对信
3、息系统资产安全、信息系统资产安全、面临威、存在脆弱性的识别面临威、存在脆弱性的识别,对已经采取安全措施的确认已经采取安全措施的确认,对可能存在的信息安全风险的识别等环节。5.1 风险评估的准备风险评估的准备 风险评估的准备是实施风险评估的前提,只有有效地进行了信息安全风险评估准备,才能更好地开展信息安全风险评估。由于实施信息安全风险评估,涉及组织的业务涉及组织的业务流程、信息安全需求、信息系统规模、信流程、信息安全需求、信息系统规模、信息系统结构息系统结构等多方面内容,因此开展信息安全风险评估的准备活动,通过确定目标、确定目标、进行调研、获得组织高层管理者对评估的进行调研、获得组织高层管理者对
4、评估的支持支持等,对有效实施风险评估是十分必要的。信息安全评估的准备活动包括信息安全评估的准备活动包括 1. 1. 确定风险评估的确定风险评估的目标目标 2. 2. 确定风险评估的确定风险评估的范围范围 3. 3. 组建风险评估组建风险评估管理团队管理团队和和评估实评估实施团队施团队 4. 4. 进行进行系统调研系统调研 5. 5. 确定确定评估依据和方法评估依据和方法 6. 6. 获得最高管理者对风险评估工作获得最高管理者对风险评估工作的的支持支持5.1.1 确定风险评估的目标 首先需要确定风险评估的目标,信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织
5、必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整机密性、可用性、完整性性等方面的需求,来确定风险评估的目标。5.1.2 确定风险评估的范围 在风险评估前,需要确定风险评估的范围。风险评估的范围,包括组织内部组织内部与信息处理相关的各类软硬件资产各类软硬件资产、相关的管管理机构和人员理机构和人员、所处理的信息信息等各方面。 实施一次风险评估的范围可大可小,需要根据具体评估需求确定具体评估需求确定,可以对组织全部的信息系统进行评估,也可以仅对关键关键业务流程业务流程进行评估,也可以对组织的关键关键部门部门的信息系统进行评估等。5.1.3 组建组建评估管理团队和评估实施团队
6、 在确定风险评估的目标、范围后,需要组建风险评估实施团队,具体执行组织的风险评估。由于风险评估涉及组织管理、业务、信息资产等各个方面,因此风险评估团队中除了信息安全评估人员信息安全评估人员的参与,以便更好地了解组织信息安全状况了解组织信息安全状况,以利于风险评估的实施。5.1.4 进行系统调研 在确定了风险评估的目标、范围、团队后,要进行系统调研,并根据系统调研的结果决定评估将采用的评估方法等技术手段。系统调研内容包括: 1. 组织业务战略业务战略2. 组织管理制度管理制度3. 组织主要业务功能和要求业务功能和要求4. 网络结构、网络环境网络结构、网络环境(包括内部连接和外部连接)5. 网络系
7、统边界网络系统边界6. 主要的硬、软件硬、软件7. 数据和信息数据和信息8. 系统和数据的敏感性敏感性9. 系统使用人员使用人员10. 其他系统调研方法可以采用问卷调查、现场访谈问卷调查、现场访谈等方法进行。5.1.5 确定评估依据和方法 以系统调研结果为依据,根据被评估信息系统的具体情况,确定风险评估依据和方法。 评估依据包括吸纳有国际或国家有关信息安全标准、组织的行业国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互连单位的安全主管机关的业务系统的要求和制度、组织的信息系统互连单位的安全要求、组织的信息系统本身的实时性或性能要求要求、组织的信息系统本身的
8、实时性或性能要求等。 根据评估依据,并综合考虑评估的目的、范围时间效果评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。5.1.6 获得支持 就以上内容形成较为完整的风险评估实施方案,并报组织最高管理者批准批准,以获得其对风险评估方案的支持支持,同时在组织范围就风险评估相关内容对管理者和技术人员进行培训进行培训,以明确有关人员在风险评估中的任务。5.2 资产识别资产识别5.2.1 资产分类 风险评估需要对资产的价值进行识别,因为价值不同将导致风险值不同。 而风险评估中资产的价值不是以资产的经济价值来衡
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 优质 信息技术 课件 推选 信息 安全 风险 评估 实施 流程