信息安全风险评估实施流程资产识别课件.pptx

1、信息安全管理与风险评估PPT模板下载： 信息安全风险信息安全风险评估评估实施实施流程流程赵赵 刚刚信息安全管理与风险评估5.1 风险评估准备1.确定风险评估的目标确定风险评估的目标2.确定风险评估的确定风险评估的范围范围3.组建评估团队组建评估团队4.进行系统调研进行系统调研5.确定评估依据和方法确定评估依据和方法6.制定评估方案制定评估方案7.获得最高管理者获得最高管理者支持支持信息安全管理与风险评估5.2 资产识别5.2.1 工作内容1.回顾评估范围内的业务回顾评估范围内的业务2.识别信息资产，进行合理分类识别信息资产，进行合理分类3.确定每类信息资产的安全需求确定每类信息资产的安全需求4

2、.为每类信息资产的重要性为每类信息资产的重要性赋值赋值信息安全管理与风险评估5.2.2 参与人员5.2.3 工作方式1.评估评估范围之内的业务范围之内的业务识别识别2.资产的识别与分类资产的识别与分类3.安全需求分析安全需求分析4.资产赋值资产赋值5.2 资产识别信息安全管理与风险评估5.2 资产识别分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等。软件系统软件：操作系统、语言包、工具软件、各种库等；应用软件：外部购买的应用软件、外包开发的应用软件等；源程序：各种共享源代码、自行或合作开发的各种代码等。硬件网络设备：路由器、网关

3、、交换机等；计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等；存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；传输线路：光纤、双绞线等；保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等；安全保障设备：防火墙、入侵检测系统、身份验证等；其他：打印机、复印机、扫描仪、传真机等。服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务；网络服务：各种网络设备、设施提供的网络连接服务；信息服务：对外依赖该系统开展的各类服务。文档纸质的各种文件，如传真、电报、财务报告、发展计划等。人员掌握重要信息和核心业务的

4、人员，如主机维护主管、网络维护主管及应用项目负责人等。其它企业形象、客户关系等。信息安全管理与风险评估5.2.4 工具及资料1.自动化工具自动化工具2.手工记录手工记录表格表格3.辅助辅助材料材料5.2 资产识别信息安全管理与风险评估资产识别记录表项目名称或编号 表格编号 资产识别活动信息日期 起止时间 访谈者 访谈对象及说明 地点说明 记录信息所属业务 业务编号 所属类别 类别编号 资产名称 资产编号 IP地址 物理位置 功能描述 保密性要求 完整性要求 可用性要求 重要程度 安全控制措施 负责人 备注 信息安全管理与风险评估5.2 资产识别5.2.5 输出结果资产及评价报告信息安全管理与风

5、险评估5.3 威胁识别5.3.1 工作内容1.威胁识别威胁识别2.威胁威胁分类分类3.威胁威胁赋值赋值4.构建威胁构建威胁场景场景5.3.2 参与人员信息安全管理与风险评估5.3.3 工作方式1.威胁识别威胁识别（1）针对实际威胁的识别活动（2）针对潜在威胁的识别活动2.威胁威胁分类分类3.构建构建威胁威胁场景场景4.威胁赋值威胁赋值5.3.4 工具及资料5.3 威胁识别信息安全管理与风险评估来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害，意外事故或软件、硬件、数据、通讯线路方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统

6、进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击信息安全管理与风险评估5.3.5 输出结果威胁列表；关键资产的威胁场景。5.3 威胁识别信息安全管理与风险评估5.4.1 工作内容5.4.2 参与人员序号活动名称参与人员来自于评估单位来自于被评估单位1脆弱性识别项目负责人脆弱性识别小组项目负

7、责人识别活动中配合人员或访谈对象2脆弱性识别结果整理与展现脆弱性识别小组 3脆弱性赋值脆弱性识别小组 5.4 脆弱性识别信息安全管理与风险评估5.4.3 工作方式1.脆弱性脆弱性识别识别方法方法2.脆弱性识别脆弱性识别原则原则（1）全面考虑和突出重点相结合的原则（2）局部与整体相结合的原则（3）层次化原则（4）手工与自动化工具相结合的原则3.脆弱性识别内容脆弱性识别内容5.4 脆弱性识别信息安全管理与风险评估信息安全管理与风险评估5.4.3 工作方式4.脆弱性脆弱性赋值赋值5.脆弱性分类的脆弱性分类的设计设计5.4 脆弱性识别信息安全管理与风险评估5.4.4 工具及资料1.漏洞漏洞扫描扫描工具

8、工具2.各类检查各类检查列表列表3.渗透渗透测试测试5.4.5 输出结果1.原始原始的识别的识别结果结果2.漏洞漏洞分析报告分析报告5.4 脆弱性识别信息安全管理与风险评估5.5 已有安全措施确认5.5.1 工作内容5.5.2 参与人员序号活动名称参与人员来自于评估单位来自于被评估单位1技术控制措施的识别与确认项目负责人安全控制措施识别小组项目负责人识别活动中配合人员或访谈对象，主要包括被评估组织的安全主管、负责安全的管理员2管理和操作控制措施的识别与确认项目负责人安全控制措施识别小组项目负责人被评估组织的安全主管信息安全管理与风险评估5.5.3 工作方式1.技术技术控制措施的识别与控制措施的

9、识别与确认确认2.管理和操作控制措施的识别与管理和操作控制措施的识别与确认确认3.分析与分析与统计统计5.5.4 工具及资料5.5.5 输出结果5.5 已有安全措施确认信息安全管理与风险评估5.6 风险分析5.6.1 风险计算原理1.计算安全事件发生的计算安全事件发生的可能性可能性安全事件的可能性=L(威胁出现频率，脆弱性)=L(T,V)2.计算安全事件发生后造成的计算安全事件发生后造成的损失损失安全事件造成的损失=F(资产价值，脆弱性严重程度)=F(Ia,Va)3.计算风险值计算风险值风险值=R(安全事件的可能性，安全事件造成的损失)=R(L(T,V),F(Ia,Va)（1）风险计算：相乘法

10、（2）风险计算：矩阵法信息安全管理与风险评估5.7 风险处理计划图5-2 风险管理方法图信息安全管理与风险评估5.7.1 现存风险判断5.7.2 控制目标确定5.7.3 控制措施选择1.接受风险接受风险2.避免避免风险风险3.转移转移风险风险4.降低降低风险风险5.处置残留风险处置残留风险5.7 风险处理计划信息安全管理与风险评估5.8 风险评估报告信息安全管理与风险评估封皮封皮XXXX信息安全风险评估报告信息安全风险评估报告 被评估的系统：被评估单位：评估类别：负责人：评估时间：目录目录 第一章第一章综述介绍评估准备的相关内容。介绍评估准备的相关内容。第第2章章识别并评价资产介绍资产的识别和

11、评价结果。介绍资产的识别和评价结果。第第3章章识别并评估威胁介绍威胁的识别和评价结果。介绍威胁的识别和评价结果。第第4章章识别并评估脆弱性介绍脆弱性的识别和评价结果。介绍脆弱性的识别和评价结果。第第5章章识别安全措施介绍已有安全措施的识别和分析结果。介绍已有安全措施的识别和分析结果。第第6章章分析可能性和影响介绍可能性和影响的分析结果。介绍可能性和影响的分析结果。第第7章章风险计算介绍风险的计算结果。介绍风险的计算结果。第第8章章风险控制介绍需控制的风险及控制措施。介绍需控制的风险及控制措施。第第9章章总结对本次评估进行总结。对本次评估进行总结。信息安全管理与风险评估思考题思考题简单叙述“风险评估准备”阶段的主要工作内容。简单叙述“资产识别”的工作内容和工作方式。简单叙述“威胁识别”的工作内容和参与人员。叙述“针对潜在威胁的识别活动”的主要内容。如何构建威胁场景？简单叙述“脆弱性识别”的工作方式。叙述“风险计算原理”。信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估信息安全管理与风险评估*信息安全管理与风险评估PPT模板下载：