信息安全管理普通高等教育“十一五”国家级规划教材张红旗王新昌杨英杰唐慧林2第6次课-信息安全风险管理2上课用课件.ppt

信 息 安 全 管 理 Information security management 本节内容 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 第三章 信息安全风险管理2 威胁评估过程中需要注意哪些问题? tanghuilin81@ 2、风险评估的步骤 2.4 确认现有安全控制 2、风险评估的步骤 2.5 风险评价 基于知识（Knowledge-based）的分析方法； 基于模型（Model-based）的分析方法； 定量（Quantitative）分析； 定性（Qualitative）分析方法。 小结 第三章 信息安全风险管理2 风险评估属于组织信息安全管理体系策划的过程。风 险评估的任务是识别组织所面临的安全风险并确定风险 控制的优先等级，从而对其实施有效控制，将风险控制 在组织可以接受的范围之内。 习题 叙述风险评估的基本步骤。 思考 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 引发大家思考哪个概念更恰当 LOGO 授课内容：信息安全风险管理2 授课对象： 主讲教员：唐慧林 风险评估的分类 1 风险评估的步骤 2 1、风险评估的分类 基本风险评估； 详细风险评估； 联合风险评估。 1、风险评估的分类 1.1 基本风险评估 基本风险评估又称基线风险评估（Baseline Risk Asse -ssment），是指应用直接和简易的方法达到基本的安全水 平，就能满足组织及其业务环境的所有要求。 1、风险评估的分类 1.1 基本风险评估 安全基线，是在诸多标准规范中规定的一组安全控制 措施或者惯例，这些措施和惯例适用于特定环境下的所有 系统，可以满足基本的安全需求，能使系统达到一定的安 全防护水平。 1、风险评估的分类 1.1 基本风险评估 选择安全基线： 国际标准和国家标准，如BS7799-1、ISO13335-4； 行业标准或推荐，如德国联邦安全局IT基线保护手册； 来自其他有类似业务目标和规模的组织的惯例。 1、风险评估的分类 1.1 基本风险评估 风险接受 安全控制的识别、选择及实施，降低风险 风险评估 对现有安全控制的识别 脆弱性评估 威胁评估 资产识别和估价 风险评估和管理任务 1、风险评估的分类 1.1 基本风险评估 所需资源最少，简便易实施； 基本风险评估的优点： 同样或类似的控制能被许多信息安全管理体系所 采用，不需要耗费很大的精力。 1、风险评估的分类 1.1 基本风险评估 基本风险评估的缺点： 安全基线水平难以设置； 管理与安全相关的变更可能有困难。 1、风险评估的分类 1.2 详细风险评估 详细风险评估就是对资产、威胁及脆弱性进行详细的 识别和评估。 1、风险评估的分类 1.2 详细风险评估 风险接受 安全控制的识别、选择及实施，降低风险 风险评估 对现有安全控制的识别 脆弱性评估 威胁评估 资产识别和估价 风险评估和管理任务 1、风险评估的分类 1.2 详细风险评估 具体程序： 对资产、威胁和脆弱性进行测量与