信息安全风险评估流程27p.ppt

  1. 1、本文档共36页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全风险评估流程27p

五、风险评估工作的要点 第五,提供评估所必须的保障条件。在评估过程中,要考虑完成信息安全风险评估工作的相关保障条件,包括人员、时间和经费等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派,也可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效,需要有一定的时间保障,尤其是评估准备阶段,需要花较长的时间精心准备。此外,风险评估还要有一定的经费支持,可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。 THANKS * PPT模板下载:/moban/ 行业PPT模板:/hangye/ 节日PPT模板:/jieri/ PPT素材下载:/sucai/ PPT背景图片:/beijing/ PPT图表下载:/tubiao/ 优秀PPT下载:/xiazai/ PPT教程: /powerpoint/ Word教程: /word/ Excel教程:/excel/ 资料下载:/ziliao/ PPT课件下载:/kejian/ 范文下载:/fanwen/ 试卷下载:/shiti/ 教案下载:/jiaoan/ 感谢你的聆听 LOGO * a.目标:了解信息系统现状,识别现有信息系统及管理上的不足,以及可能造成的风险大小。 b.范围:系统物理边界、逻辑边界、组织结构和人员范围、安全管理等。 c.团队:风险评估实施团队组建,团队成员是评估过程中的管理者以及具体评估活动的实施者。 d.调研:主要业务功能和要求、业务战略和管理制度、网络结构与网络环境、系统边界、主要软硬件、数据和信息、系统和数据的敏感性、支持和使用系统的人员等。 e.依据:国内标准主要有《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)、《网络基础安全技术要求》、《信息系统通用安全技术要求》、《操作系统安全技术要求》、《数据库管理系统安全技术要求》、《信息系统安全管理要求》、《信息系统安全等级保护基本要求》。国际标准主要有《信息安全管理指导方针》(ISO/IEC 13335)、《信息技术 安全技术 信息技术安全评估准则》(ISO 15408/GB-T 18336)、BS 7799、《系统安全工程 能力成熟度模型》(SSE-CMM)。 f.方案:风险评估方案包括团队组织、工作计划、时间进度安排等。 * * * LOGO 信息安全风险评估流程 信息安全风险评估流程 培训讲师:jindaly 培训日期:2011.6 一、风险评估概述 二、风险评估目的 三、风险评估范围 四、风险评估流程 五、风险评估工作要点 一、风险评估概述 信息安全风险评估的概念在业内有多种说法,从国标《评估指南》对信息安全风险评估的表述中看出,评估涉及资产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险,对其进行评估,并采取措施将其降低到可接受的水平的过程,而风险评估是其中最重要的环节。 一、风险评估概述 信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,或将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。 二、风险评估目的 信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,通过开展信息安全风险评估工作,可以发现信息系统存在的主要问题和矛盾,找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据,帮助信息安全建设者正确判断系统存在风险与漏洞,并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在必威体育官网网址性、完整性、可用性等方面的工作,只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。 三、风险评估范围 信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理,即信息系统

文档评论(0)

yurixiang1314 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档