风险评估介绍精要.ppt

* * 召开末次会议 现场评估之后，评估组长应该主持召开末次会议，有评估小组、受评估方领导和各相关部门负责人共同参加。 末次会议的任务在于：向受评估方介绍评估的情况；报告评估发现（重大风险点）和评估结论；提出后续工作的建议（纠正措施等）；结束现场评估。 * * 末次会议议程及内容 电力行业典型系统构架 资产识别模型 网络层 机房、通信链路 网络设备1 操作系统、主机设备 软件 OA 人员、文档、制度 业务层 物理层 主机层 应用层 管理层 EAI/EIP 工程管理 物资管理 生产管理 营销系统 人力资源 综合管理 操作系统、主机设备 网络设备2 数据 软件 软件 软件 数据 数据 数据 数据 数据 数据 数据 数据层 谢 谢！ 信息安全： 防止价值的损坏 保护或保证的一件事 在下列几方面里包括了信息的保护 必威体育官网网址性-保证信息仅仅被那些被授权的人使用 完整性-保护信息及其处理方法的准确性和完整性 可用性-保障被授权使用人在需要时可以获取信息和使用相关的资产 信息安全管理分成三个区域-必威体育官网网址性，完整性，有效性 安全的几个属性：必威体育官网网址，完整，可用，可靠，可控，不可抵赖 前三条来自BS7799 CIA 非法访问进不来 重要资料拿不走 关键配置改不了 机密信息看不懂 违规人员跑不了 各项操作可审查 我们在建立信息安全管理体系的过程中，主要参照的标准是 ISO17799:2005标准。 标准包括11个方面，39个控制目标，133项控制措施。 首先是根据业务目标提出的一个全公司范围的安全策略；建立一个囊括全公司的信息安全管理机构，这一点与质量管理体系非常类似； * 盲目自信阶段 普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改进的机制，以应对安全风险的变化，不断提升安全控制能力 Risk Assessment Components By communicating a consistent structure for evaluating the components of risk, digital asset owners and OTG have a common taxonomy to track the progress and contribute to the evaluation process. It is important to note that many stakeholders are required to sufficiently address each component. This is especially true for the more subjective areas of business impact costs, the likelihood of vulnerabilities occurring, and the larger cost/benefit analysis to evaluate new control solutions. Stakeholders can include risk management experts who are involved in calculating risk, security analysts who know specific vulnerabilities and threat probabilities, data owners who know the value of the digital assets under consideration, and security architects and engineers who can identify potential security controls to mitigate risk. Risk assessment for the IPsec project looked like the following: ? Asset: Protecting digital assets in the Highest Value and High Value data classes. ? Threat: Unauthorized access, compromise of data integrity “ov