工業(yè)控制系統(tǒng)信息安全風險評估課件_第1頁
工業(yè)控制系統(tǒng)信息安全風險評估課件_第2頁
工業(yè)控制系統(tǒng)信息安全風險評估課件_第3頁
工業(yè)控制系統(tǒng)信息安全風險評估課件_第4頁
工業(yè)控制系統(tǒng)信息安全風險評估課件_第5頁
已閱讀5頁,還剩47頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

h1第4章工業(yè)控制系統(tǒng)信息安全風險評估

《工業(yè)控制系統(tǒng)信息安全》h1第4章工業(yè)控制系統(tǒng)信息安全風險評估《工業(yè)控制系統(tǒng)信息安h2第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h2第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h34.1系統(tǒng)識別需考慮的系統(tǒng)---是指公司工業(yè)控制系統(tǒng)與信息安全相關(guān)的部分,并非指整個工業(yè)控制系統(tǒng),是與信息安全相關(guān)的設(shè)備和網(wǎng)絡(luò)的總稱。h34.1系統(tǒng)識別需考慮的系統(tǒng)---是指公司工業(yè)控制系統(tǒng)h4第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h4第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h54.2.1區(qū)域定義1.區(qū)域定義按照IEC62443定義,“區(qū)域”是由邏輯的或物理的資產(chǎn)組成的,并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實體集合,基于功能、邏輯和物理關(guān)系。圖4-2多裝置區(qū)域模型圖h54.2.1區(qū)域定義1.區(qū)域定義圖4-2多裝置區(qū)域h64.2.1區(qū)域定義2.信息安全區(qū)域定義在工業(yè)控制系統(tǒng)中定義和設(shè)計區(qū)域、管道的目的是將具有相同的功能性和信息安全要求的設(shè)備分成組進行標識和分析,這也有利于設(shè)備和操作的管理。這樣需要保護的就不是單個的設(shè)備而是整個區(qū)域。h64.2.1區(qū)域定義h74.2.2管道定義1.管道定義按照IEC62443定義,“管道”是連接兩個或多個共享安全要求區(qū)域通信渠道的邏輯組。h74.2.2管道定義1.管道定義h84.2.2管道定義2.信息安全管道定義h84.2.2管道定義2.信息安全管道定義h94.2.3區(qū)域定義模板h94.2.3區(qū)域定義模板h10第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h10第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h114.3.1安全保障等級(SAL)在IEC62443中引入了信息安全保障等級(SecurityAssuranceLevel,SAL)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。它既適用于終端用戶公司,也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應(yīng)商。通過定義并比較用于信息安全掃描周期的不同階段的目標安全保障等級(SAL-T)、達到安全保障等級(SAL-A)和能力安全保障等級(SAL-C),實現(xiàn)預期設(shè)計結(jié)果的安全性。

目標安全保障等級(SAL-T)是為特定系統(tǒng)設(shè)定的SAL。達到安全保障等級(SAL-A)是特定系統(tǒng)信息安全實際的SAL等級。

能力安全保障等級(SAL-C)是指系統(tǒng)或組件正確配置時的信息安全等級。h114.3.1安全保障等級(SAL)在IEC6h124.3.2安全保障等級(SAL)與

安全完整性等級(SIL)的區(qū)別IEC62443中引入了信息安全保障等級(SecurityAssuranceLevel,SAL)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。通過定義并比較用于信息安全生命周期的不同階段的目標SAL、設(shè)計SAL、完成SAL和能力SAL,實現(xiàn)預期設(shè)計結(jié)果的安全性。它從身份和授權(quán)控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、受限數(shù)據(jù)流、事件適時響應(yīng)、資源可用性7個基本要求入手,將信息安全保障等級分為4個等級。功能安全系統(tǒng)使用安全完整性等級(SafetyIntegrityLevel,SIL)的概念已有近20年。它允許一個部件或系統(tǒng)的安全表示為單個數(shù)字,而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護因子。工業(yè)控制系統(tǒng)信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全,但是功能安全使用安全完整性等級(SIL)是基于隨機硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的,而信息安全系統(tǒng)有著更為廣泛的應(yīng)用,以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復雜,很難用一個簡單的數(shù)字描述出來。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護也必須是周而復始不斷進行的。h124.3.2安全保障等級(SAL)與

h134.3.3基本要求(FR)1.FR1:標識和認證控制2.FR2:使用控制3.FR3:系統(tǒng)完整性4.FR4:數(shù)據(jù)保密性5.FR5:限制的數(shù)據(jù)流6.FR6:對事件的及時響應(yīng)7.FR7:資源可用性h134.3.3基本要求(FR)1.FR1:標識和認證控h144.3.4系統(tǒng)要求(SR)1.FR1:標識和認證控制系統(tǒng)要求2.FR2:使用控制系統(tǒng)要求3.FR3:系統(tǒng)完整性系統(tǒng)要求4.FR4:數(shù)據(jù)保密性系統(tǒng)要求5.FR5:限制的數(shù)據(jù)流系統(tǒng)要求6.FR6:對事件的及時響應(yīng)系統(tǒng)要求7.FR7:資源可用性系統(tǒng)要求h144.3.4系統(tǒng)要求(SR)1.FR1:標識和認證控h154.3.5系統(tǒng)能力等級(CL)系統(tǒng)能力等級(CL):能力等級CL1:提供機制保護控制系統(tǒng)防范偶然的、輕度的攻擊。能力等級CL2:提供機制保護控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡單手段可能達到較小破壞后果的攻擊。能力等級CL3:提供機制保護控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復雜手段的可能達到較大破壞后果的攻擊。能力等級CL4:提供機制保護控制系統(tǒng)防范惡意的、使用擴展資源、ICS特殊技術(shù)的復雜手段與工具可能達到重大破壞后果的攻擊。h154.3.5系統(tǒng)能力等級(CL)系統(tǒng)能力等級(CL)h164.3.6信息安全等級(SL)表4-1信息安全等級表

1.管理等級劃分

根據(jù)信息安全控制實用規(guī)則(ISO27002)的管理要求和過程自動化用戶協(xié)會(WIB)的推薦要求,通過管理評估,將管理等級劃分為三級,分別為ML1,ML2和ML3,由低到高分別對應(yīng)低級、中級和高級。2.系統(tǒng)能力等級劃分

根據(jù)前面一節(jié)的內(nèi)容,基于IEC62443-3-3技術(shù)要求,通過系統(tǒng)能力(技術(shù))評估,將系統(tǒng)能力等級分為四級,由小到大分別對應(yīng)系統(tǒng)能力等級的CL1,CL2、CL3和CL4。3.信息安全等級(SL)劃分

根據(jù)管理評估和系統(tǒng)能力評估的結(jié)果,可以得到工業(yè)控制系統(tǒng)的評估結(jié)果,即信息安全等級,其等級劃分為四級,由低到高分別對應(yīng)為SL1,SL2、SL3和SL4,如表4-1所示。h164.3.6信息安全等級(SL)表4-1信息安全h17第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h17第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h184.4.1準備評估1.目標準備評估的目標是為風險評估建立背景。2.關(guān)鍵活動準備評估的關(guān)鍵活動包括以下幾點。(1)識別風險評估的目的。(2)識別風險評估的范圍。(3)識別進行哪種風險評估的假設(shè)和約束條件。(4)識別風險評估中用到的威脅、漏洞和沖擊信息源。(5)明確和改進風險評估中用到的風險模型、評估方法和分析方法。h184.4.1準備評估1.目標h194.4.2開展評估1.目標開展評估的目標是制定一個信息安全風險清單。此清單中的信息安全風險按風險等級排出優(yōu)先級,且可用于通知風險響應(yīng)決策。2.關(guān)鍵活動開展評估的關(guān)鍵活動包括識別威脅源和事件、識別漏洞和誘發(fā)條件、確定發(fā)生的可能性、確定沖擊的幅度及確定風險。1)識別威脅源和事件2)識別漏洞和誘發(fā)條件3)確定發(fā)生的可能性4)確定沖擊的幅度5)確定風險h194.4.2開展評估1.目標h204.4.3溝通結(jié)果1.目標

溝通結(jié)果的目標是確保公司組織的決策者有正確的與風險相關(guān)的信息,以便通知和指導風險決策。

2.關(guān)鍵活動

溝通結(jié)果的關(guān)鍵活動包括以下幾點:

(1)明確正確的方法。

(2)與指定的公司股東溝通風險評估結(jié)果。

(3)共享風險評估結(jié)果,與公司方針和指導一致。h204.4.3溝通結(jié)果1.目標h214.4.4維護評估1.目標完成風險評估,溝通評估結(jié)果,這個過程并沒有結(jié)束。因為網(wǎng)絡(luò)威脅和系統(tǒng)漏洞也在不斷演變,公司應(yīng)該不斷考慮它們的風險姿態(tài),以維持可接受的殘余風險等級。2.關(guān)鍵活動維護評估的關(guān)鍵活動包括以下幾點:(1)識別已發(fā)現(xiàn)的還需不斷監(jiān)控的關(guān)鍵風險因素。(2)識別風險因素監(jiān)控活動的頻率和事項,找出哪些風險評估需要更新。(3)重新確認風險評估的目的、范圍和假設(shè)。(4)實施正確的風險評估任務(wù)。(5)與公司有關(guān)人員溝通后續(xù)的風險評估。h214.4.4維護評估1.目標h22第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h22第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h234.5.1定性和定量風險評估方法

定性風險評估方法,可依賴有經(jīng)驗的雇員或者專家的意見,提供關(guān)于特定風險影響特定資產(chǎn)的可能性和嚴重性的信息。此外,不同層次的可能性和嚴重性可以通過一般級別如高、中、低來識別,而不是特定的可能結(jié)果和經(jīng)濟影響。在缺乏可靠信息時,定性風險評估方法就不適用,而改用定量風險評估方法更加實用,這些信息為特定風險對特定資產(chǎn)影響的可能性,或者特定資產(chǎn)損害帶來影響的整體評估。

定量風險評估方法需要大量的數(shù)據(jù)支持,這些數(shù)據(jù)可以提供因風險和脆弱性帶來損失的概率。如果這些信息可用,那么定量風險評估能夠提供比定性風險評估更加精確的風險評估結(jié)果。根據(jù)最近提供的有關(guān)工業(yè)控制系統(tǒng)安全威脅的數(shù)據(jù),事故發(fā)生,以及威脅迅速激化的現(xiàn)象相對較少發(fā)生,在這種情形下,定量風險評估方法在評價這些風險中更有效。h234.5.1定性和定量風險評估方法定性風險評h244.5.2基于場景和資產(chǎn)風險評估方法

基于場景和資產(chǎn)風險評估方法,是利用實際的或者近乎實際的事故進行評估,如工業(yè)控制系統(tǒng)的裝備在本地或遠程未授權(quán)訪問操作會帶來什么結(jié)果,工業(yè)控制系統(tǒng)的數(shù)據(jù)被竊或被損害會帶來什么后果等?;趫鼍昂唾Y產(chǎn)的評估方法,適用于組織機構(gòu)對控制系統(tǒng)、工作方法和對經(jīng)濟產(chǎn)生影響的特定資產(chǎn)有一定的認識?;趫鼍昂唾Y產(chǎn)的評估方法不能深入發(fā)現(xiàn)風險對敏感資產(chǎn)的威脅,這些敏感資產(chǎn)之前并沒有遭受過風險。由于這種方法不能發(fā)現(xiàn)一些威脅和漏洞,這些威脅和漏洞將使其他一些設(shè)備置于危險中。h244.5.2基于場景和資產(chǎn)風險評估方法基于場h254.5.3詳細風險評估方法詳細風險評估方法主要集中在個體工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備上,同時要考慮到具體的財產(chǎn)上的技術(shù)漏洞評估和現(xiàn)有政策的有效性。它可能對組織機構(gòu)一次性工業(yè)控制系統(tǒng)資產(chǎn)執(zhí)行詳細風險評估不是很符合實際。在這種情況下,組織機構(gòu)將會收集足夠的關(guān)于工業(yè)控制系統(tǒng)信息,允許對系統(tǒng)做優(yōu)先級排序,決定哪些首先由具體漏洞和風險評估工作做分析。在詳細風險評估方法中,定義了風險,并進行優(yōu)先級排序。h254.5.3詳細風險評估方法詳細風險評估方法h264.5.4高層次風險評估方法高層次風險評估方法,闡明了運用工業(yè)控制系統(tǒng)產(chǎn)生的個別風險的性質(zhì),這需要從根本上選擇最有效的方法和分析配置的成本。

高層次風險評估方法需要通過風險分析會議聚集利益關(guān)系者的意見,也需要利用高級商業(yè)后果,這些后果在經(jīng)營理念中已經(jīng)闡述。風險分析會議中的文件列舉了一些情景,這些情景描述了一個特定的威脅是怎樣利用特定的漏洞,造成經(jīng)濟損失和負面的商業(yè)影響,這種會議也設(shè)定了后果等級標準和抗風險等級優(yōu)先順序。h264.5.4高層次風險評估方法高層次風險評估h27第4章工業(yè)控制系統(tǒng)信息安全風險評估

《工業(yè)控制系統(tǒng)信息安全》h1第4章工業(yè)控制系統(tǒng)信息安全風險評估《工業(yè)控制系統(tǒng)信息安h28第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h2第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h294.1系統(tǒng)識別需考慮的系統(tǒng)---是指公司工業(yè)控制系統(tǒng)與信息安全相關(guān)的部分,并非指整個工業(yè)控制系統(tǒng),是與信息安全相關(guān)的設(shè)備和網(wǎng)絡(luò)的總稱。h34.1系統(tǒng)識別需考慮的系統(tǒng)---是指公司工業(yè)控制系統(tǒng)h30第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h4第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h314.2.1區(qū)域定義1.區(qū)域定義按照IEC62443定義,“區(qū)域”是由邏輯的或物理的資產(chǎn)組成的,并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實體集合,基于功能、邏輯和物理關(guān)系。圖4-2多裝置區(qū)域模型圖h54.2.1區(qū)域定義1.區(qū)域定義圖4-2多裝置區(qū)域h324.2.1區(qū)域定義2.信息安全區(qū)域定義在工業(yè)控制系統(tǒng)中定義和設(shè)計區(qū)域、管道的目的是將具有相同的功能性和信息安全要求的設(shè)備分成組進行標識和分析,這也有利于設(shè)備和操作的管理。這樣需要保護的就不是單個的設(shè)備而是整個區(qū)域。h64.2.1區(qū)域定義h334.2.2管道定義1.管道定義按照IEC62443定義,“管道”是連接兩個或多個共享安全要求區(qū)域通信渠道的邏輯組。h74.2.2管道定義1.管道定義h344.2.2管道定義2.信息安全管道定義h84.2.2管道定義2.信息安全管道定義h354.2.3區(qū)域定義模板h94.2.3區(qū)域定義模板h36第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h10第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h374.3.1安全保障等級(SAL)在IEC62443中引入了信息安全保障等級(SecurityAssuranceLevel,SAL)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。它既適用于終端用戶公司,也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應(yīng)商。通過定義并比較用于信息安全掃描周期的不同階段的目標安全保障等級(SAL-T)、達到安全保障等級(SAL-A)和能力安全保障等級(SAL-C),實現(xiàn)預期設(shè)計結(jié)果的安全性。

目標安全保障等級(SAL-T)是為特定系統(tǒng)設(shè)定的SAL。達到安全保障等級(SAL-A)是特定系統(tǒng)信息安全實際的SAL等級。

能力安全保障等級(SAL-C)是指系統(tǒng)或組件正確配置時的信息安全等級。h114.3.1安全保障等級(SAL)在IEC6h384.3.2安全保障等級(SAL)與

安全完整性等級(SIL)的區(qū)別IEC62443中引入了信息安全保障等級(SecurityAssuranceLevel,SAL)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。通過定義并比較用于信息安全生命周期的不同階段的目標SAL、設(shè)計SAL、完成SAL和能力SAL,實現(xiàn)預期設(shè)計結(jié)果的安全性。它從身份和授權(quán)控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、受限數(shù)據(jù)流、事件適時響應(yīng)、資源可用性7個基本要求入手,將信息安全保障等級分為4個等級。功能安全系統(tǒng)使用安全完整性等級(SafetyIntegrityLevel,SIL)的概念已有近20年。它允許一個部件或系統(tǒng)的安全表示為單個數(shù)字,而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護因子。工業(yè)控制系統(tǒng)信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全,但是功能安全使用安全完整性等級(SIL)是基于隨機硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的,而信息安全系統(tǒng)有著更為廣泛的應(yīng)用,以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復雜,很難用一個簡單的數(shù)字描述出來。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護也必須是周而復始不斷進行的。h124.3.2安全保障等級(SAL)與

h394.3.3基本要求(FR)1.FR1:標識和認證控制2.FR2:使用控制3.FR3:系統(tǒng)完整性4.FR4:數(shù)據(jù)保密性5.FR5:限制的數(shù)據(jù)流6.FR6:對事件的及時響應(yīng)7.FR7:資源可用性h134.3.3基本要求(FR)1.FR1:標識和認證控h404.3.4系統(tǒng)要求(SR)1.FR1:標識和認證控制系統(tǒng)要求2.FR2:使用控制系統(tǒng)要求3.FR3:系統(tǒng)完整性系統(tǒng)要求4.FR4:數(shù)據(jù)保密性系統(tǒng)要求5.FR5:限制的數(shù)據(jù)流系統(tǒng)要求6.FR6:對事件的及時響應(yīng)系統(tǒng)要求7.FR7:資源可用性系統(tǒng)要求h144.3.4系統(tǒng)要求(SR)1.FR1:標識和認證控h414.3.5系統(tǒng)能力等級(CL)系統(tǒng)能力等級(CL):能力等級CL1:提供機制保護控制系統(tǒng)防范偶然的、輕度的攻擊。能力等級CL2:提供機制保護控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡單手段可能達到較小破壞后果的攻擊。能力等級CL3:提供機制保護控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復雜手段的可能達到較大破壞后果的攻擊。能力等級CL4:提供機制保護控制系統(tǒng)防范惡意的、使用擴展資源、ICS特殊技術(shù)的復雜手段與工具可能達到重大破壞后果的攻擊。h154.3.5系統(tǒng)能力等級(CL)系統(tǒng)能力等級(CL)h424.3.6信息安全等級(SL)表4-1信息安全等級表

1.管理等級劃分

根據(jù)信息安全控制實用規(guī)則(ISO27002)的管理要求和過程自動化用戶協(xié)會(WIB)的推薦要求,通過管理評估,將管理等級劃分為三級,分別為ML1,ML2和ML3,由低到高分別對應(yīng)低級、中級和高級。2.系統(tǒng)能力等級劃分

根據(jù)前面一節(jié)的內(nèi)容,基于IEC62443-3-3技術(shù)要求,通過系統(tǒng)能力(技術(shù))評估,將系統(tǒng)能力等級分為四級,由小到大分別對應(yīng)系統(tǒng)能力等級的CL1,CL2、CL3和CL4。3.信息安全等級(SL)劃分

根據(jù)管理評估和系統(tǒng)能力評估的結(jié)果,可以得到工業(yè)控制系統(tǒng)的評估結(jié)果,即信息安全等級,其等級劃分為四級,由低到高分別對應(yīng)為SL1,SL2、SL3和SL4,如表4-1所示。h164.3.6信息安全等級(SL)表4-1信息安全h43第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h17第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h444.4.1準備評估1.目標準備評估的目標是為風險評估建立背景。2.關(guān)鍵活動準備評估的關(guān)鍵活動包括以下幾點。(1)識別風險評估的目的。(2)識別風險評估的范圍。(3)識別進行哪種風險評估的假設(shè)和約束條件。(4)識別風險評估中用到的威脅、漏洞和沖擊信息源。(5)明確和改進風險評估中用到的風險模型、評估方法和分析方法。h184.4.1準備評估1.目標h454.4.2開展評估1.目標開展評估的目標是制定一個信息安全風險清單。此清單中的信息安全風險按風險等級排出優(yōu)先級,且可用于通知風險響應(yīng)決策。2.關(guān)鍵活動開展評估的關(guān)鍵活動包括識別威脅源和事件、識別漏洞和誘發(fā)條件、確定發(fā)生的可能性、確定沖擊的幅度及確定風險。1)識別威脅源和事件2)識別漏洞和誘發(fā)條件3)確定發(fā)生的可能性4)確定沖擊的幅度5)確定風險h194.4.2開展評估1.目標h464.4.3溝通結(jié)果1.目標

溝通結(jié)果的目標是確保公司組織的決策者有正確的與風險相關(guān)的信息,以便通知和指導風險決策。

2.關(guān)鍵活動

溝通結(jié)果的關(guān)鍵活動包括以下幾點:

(1)明確正確的方法。

(2)與指定的公司股東溝通風險評估結(jié)果。

(3)共享風險評估結(jié)果,與公司方針和指導一致。h204.4.3溝通結(jié)果1.目標h474.4.4維護評估1.目標完成風險評估,溝通評估結(jié)果,這個過程并沒有結(jié)束。因為網(wǎng)絡(luò)威脅和系統(tǒng)漏洞也在不斷演變,公司應(yīng)該不斷考慮它們的風險姿態(tài),以維持可接受的殘余風險等級。2.關(guān)鍵活動維護評估的關(guān)鍵活動包括以下幾點:(1)識別已發(fā)現(xiàn)的還需不斷監(jiān)控的關(guān)鍵風險因素。(2)識別風險因素監(jiān)控活動的頻率和事項,找出哪些風險評估需要更新。(3)重新確認風險評估的目的、范圍和假設(shè)。(4)實施正確的風險評估任務(wù)。(5)與公司有關(guān)人員溝通后續(xù)的風險評估。h214.4.4維護評估1.目標h48第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別4.2區(qū)域與管道定義4.3信息安全等級(SL)4.4風險評估過程4.5風險評估方法h22第4章工業(yè)控制系統(tǒng)信息安全風險評估4.1系統(tǒng)識別h494.5.1定性和定量風險評估方法

定性風險評估方法,可依賴有經(jīng)驗的雇員或者專家的意見,提供關(guān)于特定風險影響特定資產(chǎn)的可能性和嚴重性的信

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論