信息安全新版标准培训.ppt

提升信息安全管理能力，实现满足安全要求和期望的结果 — 受控的信息安全 * * * * * * * * 每个威胁的类型，包括D（故意的）、A（意外的）、E（环境的）。D表示针对信息资产的所有故意行为，A表示可能意外地损害信息资产的所有人为行为，E表示不是基于人为行为的所有事件。威胁组没有优先顺序。 * * * 如图1所示，信息安全风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间，提供了一个良好的平衡。 首先建立语境，然后进行风险评估。如果风险评估为有效地确定将风险降低至可接受水平所需行动，提供了足够的信息，那么就结束该风险评估，接下来进行风险处置。如果提供的信息不够充分，那么将在修订的语境（例如，风险评价准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，可能是在整个范围的有限部分上（见图1，风险决策点1）。 风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（例如，风险评估准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，以及随后的进一步风险处置（见图1，风险决策点2）。 风险接受活动须确保残余风险被组织的管理者明确地接受。在例如由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。 在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。 * 如图1所示，信息安全风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间，提供了一个良好的平衡。 首先建立语境，然后进行风险评估。如果风险评估为有效地确定将风险降低至可接受水平所需行动，提供了足够的信息，那么就结束该风险评估，接下来进行风险处置。如果提供的信息不够充分，那么将在修订的语境（例如，风险评价准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，可能是在整个范围的有限部分上（见图1，风险决策点1）。 风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（例如，风险评估准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，以及随后的进一步风险处置（见图1，风险决策点2）。 风险接受活动须确保残余风险被组织的管理者明确地接受。在例如由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。 在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。 * 《信息安全技术 信息安全事件分类分级指南》有详细描述信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响特别重大事件（Ⅰ级） 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受特别严重的系统损失； b) 产生特别重大的社会影响。 5.2.3 重大事件（Ⅱ级） 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失； b) 产生的重大的社会影响。 5.2.4 较大事件（Ⅲ级） 较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失； b) 产生较大的社会影响。 5.2.5 一般事件（Ⅳ级） 一般事件是指不满足以上条件的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失； b) 产生一般的社会影响