網(wǎng)絡(luò)安全風(fēng)險評估培訓(xùn)班課件

網(wǎng)絡(luò)安全風(fēng)險評估

錄

■網(wǎng)絡(luò)安全風(fēng)險管理基礎(chǔ)

1、風(fēng)險相關(guān)基礎(chǔ)概念

2、信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)

■網(wǎng)絡(luò)安全風(fēng)險管理主要內(nèi)容

目錄1、信息安全風(fēng)險管理概述

2、信息安全風(fēng)險管理的基本內(nèi)容和過程

3、信息系統(tǒng)生命周期與信息安全風(fēng)險管理

三、網(wǎng)絡(luò)安全風(fēng)險評估

1、風(fēng)險評估工作形式

2、風(fēng)險評估的實(shí)施流程

3、風(fēng)險評估工具

風(fēng)險,信息安全風(fēng)險的概念

理解風(fēng)險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全

措施等風(fēng)險相關(guān)概念

理解風(fēng)險準(zhǔn)則、風(fēng)險評估、風(fēng)險處理、風(fēng)險管理、殘余風(fēng)險的概念，掌握信息安全風(fēng)

險評估的概念

理解風(fēng)險相關(guān)要素之間的關(guān)系

Pace?

風(fēng)險相關(guān)基礎(chǔ)概念

風(fēng)險，指事態(tài)的概率及其結(jié)果的組合（一GB/Z24364-2009《信息安全

風(fēng)險管理指南》）

信息安全風(fēng)險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系

中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響?:——

GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》）

信息安全風(fēng)險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等

屬性

PW4

風(fēng)險相關(guān)基礎(chǔ)概念

信息安全，就是保證信息的機(jī)密性、完整性和可用性。

機(jī)密性：確保信息不被非授權(quán)的個人、組織和計(jì)算機(jī)程序使用

完整性：確保信息沒有被篡改和破壞

可用性：確保擁有授權(quán)的用戶或程序可以及時、正常使用信息

CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：

A

風(fēng)險的構(gòu)成

風(fēng)險的構(gòu)成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑

（脆弱性）、受體（資產(chǎn)）和后果（影響）

環(huán)境

Pace6

風(fēng)險相關(guān)術(shù)語

■資產(chǎn)(Asset)業(yè)務(wù)戰(zhàn)略

■威脅(Threat)■安全事件

■脆弱性(Vunerability)■安全需求

■可能性(Likelihood,風(fēng)險準(zhǔn)則

Probability)風(fēng)險評估

■安全措施/控制措施(風(fēng)險處理

Countermeasure,■風(fēng)險管理

safeguard,control)

■殘余風(fēng)險(ResidentalRisk)

信息安全風(fēng)險評估

Pat?7

資產(chǎn)

:資產(chǎn)是任何對組織有他值的左酉，是要保護(hù)的對象

'?資產(chǎn)以多種形式看在（多種分類用去）

物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)

文件等）

硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟

件、工具軟件和應(yīng)用軟件等）

有形的（如機(jī)房、設(shè)備和人員等）和無形的（如品牌、信心和名譽(yù)等）

靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等）

技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過程、計(jì)劃和人

員等）等

PW8

威脅

?:?可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因

?:?引起風(fēng)險的外因

?威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險

?:?威脅舉例

■操作失誤漏洞利用

■濫用授權(quán)拒絕服務(wù)

-行為抵賴竊取數(shù)據(jù)

?身份假冒物理破壞

■口令攻擊社會工程

-密鑰分析

脆弱性

的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)

脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時,

iiWW恰當(dāng)?shù)耐{方式對信息資產(chǎn)造成危害

系統(tǒng)程序代碼缺陷

系統(tǒng)設(shè)備安全配置錯誤

系統(tǒng)操作流程有缺陷

維護(hù)人員安全意識不足

Pace10

可能性

'?某件事發(fā)生的機(jī)會

:簟物源利用脆弱性造成不良后果的機(jī)會

脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機(jī)會

很小

系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生不良后果的

機(jī)會較小

互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的機(jī)會很大

PW11

影響

:瞿F源利用脆弱性造成不良后果的程度大小

網(wǎng)站被黑客控制，國家級網(wǎng)站比省市網(wǎng)站的名譽(yù)損失大很多。

銀行門戶網(wǎng)站和內(nèi)部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。

同樣型號路由器被攻破，用于互聯(lián)網(wǎng)骨干路由要比企業(yè)內(nèi)部系統(tǒng)的路由器損失

更大。

Pace12

風(fēng)險

。威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性

采取

'威脅源］

利用

造成

威脅方式

網(wǎng)站存在SQL注入漏洞,普通攻擊者利用自動化攻擊工具很容易

控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽(yù)

13

對信息安全風(fēng)險的理解

“?伊星室制&障號旨一種特定的威脅利用一種或一

組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性

'?信息盤金風(fēng)臉最指信息資產(chǎn)的保密性、完整性和

可用秩遭到祓壞的可能性

”?信息安全風(fēng)險只考慮那些對組織有負(fù)面影響的事件

'?風(fēng)險的五方面

威脅源、威脅行為、脆弱性、資產(chǎn)、影響

Pa<e14

安全措施/控制措施

降

唯要墓置件『勵慨唳懸鬻I鬻％各種

實(shí)踐、規(guī)程和機(jī)制，它是管理風(fēng)險的具體手段和方法

:.根全需求部署，用來防范威脅，降低風(fēng)險的措施

部署防火墻、入侵檢測、審計(jì)系統(tǒng)

測試環(huán)節(jié)

操作審批環(huán)節(jié)

應(yīng)急體系

終端U盤管理制度

Pace1$

風(fēng)險術(shù)語之同鮮系

造成

Pa<e16

信息安全風(fēng)險評估

.是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由

其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程

'?它要評估資產(chǎn)面臨的威脅以及威脅利

用脆弱性導(dǎo)致安全事件的可能性，并結(jié)

合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響

風(fēng)險處理.風(fēng)險管理

'?風(fēng)險處理是選擇并且執(zhí)行措施來更改風(fēng)險的過程

'?風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因

素的過程

Pate18

風(fēng)險評估VS風(fēng)險管理

風(fēng)險管理風(fēng)險評估

目標(biāo)將風(fēng)險降低到可接受水平確定面臨的風(fēng)險并確定其優(yōu)先級

周期包括風(fēng)險評估、風(fēng)險決策、風(fēng)險控制風(fēng)險管理中的單個階段

等所有階段

計(jì)劃持續(xù)（PDCA）按需要

Pw19

殘余風(fēng)險

?,采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險

'?有些殘余風(fēng)險是在綜合考慮了安全成本與效

益后不去控制的風(fēng)險*殘余風(fēng)險應(yīng)受到密切監(jiān)

視，它可能會在將來誘發(fā)新的安全事件'?舉例

風(fēng)險列表中有10項(xiàng)風(fēng)險，根據(jù)風(fēng)險成本效益分析，只有前8項(xiàng)需要控

制，則前8項(xiàng)處理后剩余的風(fēng)險加上另2項(xiàng)風(fēng)險為殘余風(fēng)險，一段時

間內(nèi)系統(tǒng)處于風(fēng)險可接受水平

Pace20

風(fēng)險相關(guān)要素之間的關(guān)系

業(yè)務(wù)戰(zhàn)略

依賴

脆弱性:一暴露Bj—具有一

T

利用增加未被滿足確定成本

「表全事件：《可能誘發(fā)

殘余風(fēng)險'?未控制一安全措施

Pace21

錄

網(wǎng)絡(luò)安全風(fēng)險管理基礎(chǔ)

1、風(fēng)險相關(guān)基礎(chǔ)概念

2、信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全風(fēng)險管理主要內(nèi)容

目錄1、信息安全風(fēng)險管理概述

2、信息安全風(fēng)險管理的基本內(nèi)容和過程

3、信息系統(tǒng)生命周期與信息安全風(fēng)險管理

三、網(wǎng)絡(luò)安全風(fēng)險評估

1、風(fēng)險評估工作形式

2、風(fēng)險評估的實(shí)施流程

3、風(fēng)險評估工具

信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)

了解我國有關(guān)信息安全風(fēng)險管理的政策要求

了解信息安全風(fēng)險管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn)

Pw23

我國有關(guān)信息安全風(fēng)險管理的政策要求

避髓器解魏替郭T需替輾

全風(fēng)險評估工作，將風(fēng)險評估作為提高我國信息安全保障水平的一項(xiàng)重要舉措

了國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作

叼02￡

《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5

號）的實(shí)施要求

■晨窿翎牌評假工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。

規(guī)戈IJ設(shè)計(jì)階段、%收時均應(yīng)實(shí)施風(fēng)險評估；運(yùn)行后應(yīng)定期實(shí)施

座通填信思我會風(fēng)險評估為信息系統(tǒng)確定安全等級提供依

據(jù),根據(jù)風(fēng)險評估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求

■風(fēng)險評估的基本內(nèi)容和原則

■風(fēng)險評估工作的基本要求

開展風(fēng)險評估工作的有關(guān)安排

Pace25

《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5

號）的實(shí)施要求

電現(xiàn)避電氏風(fēng)險評估工作而引入新的安全風(fēng)險，必須高度重

視彳后,息女全風(fēng)險評估的組織管理工作。要求：

?參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的

法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)

?風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人

員簽訂具有法律約束力的保密協(xié)議

?對關(guān)系國計(jì)民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評

估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行

PW26

集團(tuán)公司網(wǎng)絡(luò)安全管理辦法對風(fēng)險評估的要求

集團(tuán)公司結(jié)合國家相關(guān)法律法規(guī)要求，2019年發(fā)布了《集團(tuán)公司網(wǎng)絡(luò)安全管理辦法》，共七章46條，明確提出集團(tuán)

公司網(wǎng)絡(luò)安全實(shí)行統(tǒng)一管理、分級負(fù)責(zé)，遵循"誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，規(guī)定了所屬企事

業(yè)單位承擔(dān)本單位的網(wǎng)絡(luò)安全管理責(zé)任。

條款內(nèi)容

胸氐候'（訪網(wǎng)公，4

第九條所屬企業(yè)落實(shí)集團(tuán)公司總體網(wǎng)絡(luò)安全要求，承擔(dān)本單位網(wǎng)絡(luò)安全管理責(zé)任，主要負(fù)責(zé)人是網(wǎng)絡(luò)安全第一*安金濟(jì)再心值?遙審M>

責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)是直接責(zé)任人，主要履行以下職責(zé)：■T

下■■?■■A，*

（-）明確網(wǎng)絡(luò)安全歸口管理機(jī)構(gòu)和相應(yīng)崗位，完善網(wǎng)絡(luò)安全管理制度，實(shí)行網(wǎng)絡(luò)安全管理員持證上崗

se<u<<i<Aia\aK

制度；?

■二?'????

（二）編制本單位網(wǎng)絡(luò)安全解決方案、年度工作計(jì)劃，其配套項(xiàng)目投資和系統(tǒng)運(yùn)堆賽用，納入本單位年?■.?傳?

會金.)IMXaafe4RUfVIlKtt.

度預(yù)算；?a,“

a.??.■?.*?.

（=）開展網(wǎng)絡(luò)安全等級保護(hù)、風(fēng)險評估等工作，制定專酶急預(yù)案并弊R演練，

實(shí)施網(wǎng)絡(luò)安全事件的應(yīng)急處置，組織網(wǎng)絡(luò)安全檢查和培訓(xùn)等工作；

（四）?…?…

PwV

錄

網(wǎng)絡(luò)安全風(fēng)險管理基礎(chǔ)

1、風(fēng)險相關(guān)基礎(chǔ)概念

2、信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全風(fēng)險管理主要內(nèi)容

目錄1、信息安全風(fēng)險管理概述

2、信息安全風(fēng)險管理的基本內(nèi)容和過程

3、信息系統(tǒng)生命周期與信息安全風(fēng)險管理

三、網(wǎng)絡(luò)安全風(fēng)險評估

1、風(fēng)險評估工作形式

2、風(fēng)險評估的實(shí)施流程

3、風(fēng)險評估工具

信息安全風(fēng)險管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn)

?:?GB/T20984?2007《信息安全風(fēng)險評估規(guī)范》

GB/Z24364-2009《信息安全風(fēng)險管理指南》

?ISO/IEC27005:2011《信息安全風(fēng)險管理》

?ISOGUIDE73:2009《風(fēng)險管理一術(shù)語》

?15031000:2009《風(fēng)險管理一主要原則和指南》

?IEC/ISO31010:2009《風(fēng)險管理一風(fēng)險評估技術(shù)》

?NISTSP800-30(2012)《實(shí)施風(fēng)險評估指南》

?NISTSP800-39(2011)《管理信息安全風(fēng)險：組織、使命和信息系統(tǒng)梗概》

?NISTSP800-37(2010)《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險管理框架指南：安全生命周期方法》

?NISTSP800-53(2010)《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》

?NISTSP800-53A(2010)I《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的

安全評估計(jì)劃》

信息安全風(fēng)險管理概述

'?理解實(shí)施風(fēng)險管理的主要原則

'?理解風(fēng)險管理的范圍和對象

風(fēng)險管理是各行業(yè)采取的普遍工作方法

It空安全風(fēng)險管理探討B(tài)nehnqontheRiskControloverAviati

IDOC］食品安全風(fēng)險評估管理規(guī)定（試行）近年來，民航業(yè)高速發(fā)票，時航空安全槎出了更高的要求.由此促使航交安全*

文件格式DOC/McrosoflWord-HTML>就看安全■理科學(xué)的發(fā)祟在逐漸轉(zhuǎn)眇，由較早的以?我魂查為主到近期的以人為

（三國務(wù)院有關(guān)部門監(jiān)督省理工作帚要并提出應(yīng)叁.渾伯建議IWWWcqvipcom/QK/88616）V2007001/24344626html2010-11-2?口度快照

貿(mào)易告塔希夏的第十七條需要開展應(yīng)急評估計(jì)國家食品？

航空安全風(fēng)險管理模式探討-《中國安全生產(chǎn)科學(xué)技術(shù)》2007年0

wwwmohgovcn/oublicfiles/business/cmsre2010-1-26

航空安全帶要動套?理因此構(gòu)建并實(shí)施基干向匙?理的航空安全風(fēng)險?理模JtU

［PPTJ國際食品安全風(fēng)險管理發(fā)展在文保請了航空公司、機(jī)場和交道的安全管理工作如何圍崗航空安全向昆為中心

文件格式PPT/MwrosoftPowerpoint-HTML>emuchnet/joumal/articlephp">id=CJFDTota2010-10-24-/度快照

風(fēng)險管理的相關(guān)搜索貨易轉(zhuǎn)至的設(shè)定必笈以科學(xué)的人類健康風(fēng)險訐估為基岫妁

航空安全風(fēng)險管理根式探討Discussionon:heaviationsafetyn

強(qiáng)行磁?理全面唳雷理食品貿(mào)易現(xiàn)則和析淮的產(chǎn)格方法國際食品貿(mào)易平衙兩種不I

?主與工需要一:宜w：曰比相i訃：貸圣干向*宜理的臟〒亍丁爪同省”惶r

wwwfoodmatenet/zhihang/document/fengx）2004-2-27

項(xiàng)目風(fēng)段掌理金融見跆管理師義。本文保講了航空公司、機(jī)場和文宣的安全道理工作如何圍發(fā)航空安全問題為

企業(yè)磁?理反險?理案例食品安全風(fēng)險管理基礎(chǔ)-食品安全與風(fēng)險分析-WWWcqvipcom/qk/947950/200702/24210150html2010-10-16?百度快照

雙檢*理方法用金*理理論11察回復(fù)發(fā)帖時間200蟀12月22日

困片國航西南砌艮規(guī)范安全風(fēng)險管理推進(jìn)SMS建設(shè)

食品論壇這是在參加標(biāo)準(zhǔn)培訓(xùn)計(jì)的裳堂記錄，另外發(fā)財(cái)寫:

商業(yè)銀行■?理公的戰(zhàn)站與刖堂T理

2010年4月2日國航西南地照發(fā)范安全風(fēng)險道理推送SMSSt遂圖?J也服部等!5

址，［PPT］食R安全標(biāo)準(zhǔn)喻道理題道理基本應(yīng)用模式

安全運(yùn)行n息排查.胃影，尹濤民航濱海網(wǎng)2Q10年4月2日消息I航空安全網(wǎng)R'

bbsfoodmatenetthre?d-328304-1-1html2010-11-13-g￡

newscamoccom/list/157/157117html2010-7-23-4度快照

鶴山市枳極探煮食品安全風(fēng)險管理及信用體系建

航空公司安全管理體系中的:音理的分析（06.9）中國民用航

200彈11月18日近年來，外山市政府重視食品安全保陵.

2010年6月9日航空公R安全道理體系中的反趁?理的分析（06-9）發(fā)布時閻,

不斷創(chuàng)新監(jiān)?模式，枚極保逑食品安全風(fēng)蹌?理及信用體不

（民航堆修網(wǎng)通訊員方小平報(bào)JI）安全管理體系（S”S）起源千英國和澳大利H

WWWnxnewsneV3171/2008-11-18^9@340402htm2008-

WWWcamacorgcn/news/showphp?news_id=24532010-8-8?口度快盥

日本食品安全風(fēng)險管理體制及啟示-《農(nóng)村經(jīng)濟(jì);

國航西南地服部舉辦布京安全風(fēng)險管理培訓(xùn)培訓(xùn)華夏汽車網(wǎng)

蠲H急從航空安全網(wǎng)金篦理概要、方法、安全風(fēng)險道理的發(fā)布、隘校以及地服部

PateSI

通用風(fēng)險管理定義

'?定義

是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。

風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。

理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生

的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。

PW32

風(fēng)險目理是信息安全保障工作有效工作方式

好的風(fēng)險管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行，并且使

已知的風(fēng)險維持在可接受的水平。

好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織

有限的資源并確定優(yōu)先級，更好地管理風(fēng)險。而不是將保貴的資源用

于解決所有可能的風(fēng)險

'?風(fēng)險管理是一個持續(xù)的PDCA管理過程。

PW33

信息安全工作中的風(fēng)險管理

常見問題問題根源淺析

安全投資逐年增加，但看不到收益沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃，沒有抓

住主要矛盾，導(dǎo)致有限資金的有效利用率低

按照國家要求或行業(yè)要求開展信息安全工作，沒有根據(jù)企業(yè)自身安全需求部署安全控制措施,

但安全事件仍出現(xiàn)沒有突出控制高風(fēng)險。

IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個決策者沒有看到安全投資收益報(bào)告，資金劃撥

領(lǐng)域無參考依據(jù)。

當(dāng)了CIO,時刻擔(dān)心系統(tǒng)出事，無法預(yù)見可能沒有殘余風(fēng)險清單，在什么條件可被觸發(fā)，如

會出什么事何做好控制

PWM

什么是信息安全風(fēng)險管理

.定義一：GB/Z24364《信息安全風(fēng)險管理指南》

信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的

過程。

善標(biāo)的警髯盤普部識別、優(yōu)化、管理風(fēng)險，使風(fēng)

Pace?

實(shí)施風(fēng)險管理的主要原則

'?風(fēng)險管理創(chuàng)造和保護(hù)價值

*風(fēng)險管理是所有組織過程不可分割的一個部分，促進(jìn)組織的持續(xù)改進(jìn)

*風(fēng)險管理是透明的，參與人員應(yīng)包含廣泛，同時考慮人員和文化因素

風(fēng)險管理是定制的，并具有體系化、結(jié)構(gòu)化的特點(diǎn)

風(fēng)險管理是動態(tài)的、反復(fù)的和響應(yīng)變化的

Pace56

風(fēng)險管理的范圍和對象

。信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的安全

信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體，如紙張、

硬盤、網(wǎng)線等

信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用

平臺等硬環(huán)境和軟環(huán)境

?:?信息安全風(fēng)險管理涉及信息安全上述三個方面包含的所有相關(guān)對象“

對于一個具體的信息系統(tǒng)，風(fēng)險管理選擇的范圍和對象重點(diǎn)應(yīng)有所

木同

P?e37

錄

網(wǎng)絡(luò)安全風(fēng)險管理基礎(chǔ)

1、風(fēng)險相關(guān)基礎(chǔ)概念

2、信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)

■網(wǎng)絡(luò)安全風(fēng)險管理主要內(nèi)容

目錄1、信息安全風(fēng)險管理概述

2、信息安全風(fēng)險管理的基本內(nèi)容和過程

3、信息系統(tǒng)生命周期與信息安全風(fēng)險管理

三、網(wǎng)絡(luò)安全風(fēng)險評估

1、風(fēng)險評估工作形式

2、風(fēng)險評估的實(shí)施流程

3、風(fēng)險評估工具

信息安全風(fēng)險管理的基本內(nèi)容和過程

'?理解背景建立的主要工作內(nèi)容

”理解風(fēng)險評估的主要工作內(nèi)容

?'理解風(fēng)險處理的主要工作內(nèi)容

*理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容

。理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢的主要工作內(nèi)容

PW39

信息安全風(fēng)險管理工作內(nèi)容

GB/Z24364《信息安全風(fēng)險管理指南》：四個階段，兩個貫穿

背景建立

風(fēng)險評估溝

通

咨

風(fēng)險處理

批準(zhǔn)監(jiān)督

Pate40

背景建立

食氟I遍隼易安全風(fēng)險管理的第一步驟，確定風(fēng)險

官理的對象和氾圍，確立實(shí)施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析

風(fēng)險管理準(zhǔn)備：確定對象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持

信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)

信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素

信息安全分析：分析安全要求、分析安全環(huán)境

PW<1

背景建立過程

—

—

分

分

調(diào)

確

組

制

獲

調(diào)

調(diào)

調(diào)

析

析

查

得

建

定

定

查

查

查

信

信

支

信

風(fēng)

風(fēng)

風(fēng)