信息安全风险评估流程27p.ppt

五、风险评估工作的要点 第五，提供评估所必须的保障条件。在评估过程中，要考虑完成信息安全风险评估工作的相关保障条件，包括人员、时间和经费等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派，也可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效，需要有一定的时间保障，尤其是评估准备阶段，需要花较长的时间精心准备。此外，风险评估还要有一定的经费支持，可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。 THANKS * PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/ PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀PPT下载：/xiazai/ PPT教程： /powerpoint/ Word教程： /word/ Excel教程：/excel/ 资料下载：/ziliao/ PPT课件下载：/kejian/ 范文下载：/fanwen/ 试卷下载：/shiti/ 教案下载：/jiaoan/ 感谢你的聆听 LOGO * a.目标：了解信息系统现状，识别现有信息系统及管理上的不足，以及可能造成的风险大小。 b.范围：系统物理边界、逻辑边界、组织结构和人员范围、安全管理等。 c.团队：风险评估实施团队组建，团队成员是评估过程中的管理者以及具体评估活动的实施者。 d.调研：主要业务功能和要求、业务战略和管理制度、网络结构与网络环境、系统边界、主要软硬件、数据和信息、系统和数据的敏感性、支持和使用系统的人员等。 e.依据：国内标准主要有《信息安全技术 信息安全风险评估规范》（GB/T20984-2007)、《网络基础安全技术要求》、《信息系统通用安全技术要求》、《操作系统安全技术要求》、《数据库管理系统安全技术要求》、《信息系统安全管理要求》、《信息系统安全等级保护基本要求》。国际标准主要有《信息安全管理指导方针》（ISO/IEC 13335）、《信息技术 安全技术 信息技术安全评估准则》（ISO 15408/GB-T 18336）、BS 7799、《系统安全工程 能力成熟度模型》（SSE-CMM）。 f.方案：风险评估方案包括团队组织、工作计划、时间进度安排等。 * * * LOGO 信息安全风险评估流程 信息安全风险评估流程 培训讲师：jindaly 培训日期：2011.6 一、风险评估概述二、风险评估目的三、风险评估范围四、风险评估流程五、风险评估工作要点 一、风险评估概述 信息安全风险评估的概念在业内有多种说法，从国标《评估指南》对信息安全风险评估的表述中看出，评估涉及资产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险，对其进行评估，并采取措施将其降低到可接受的水平的过程，而风险评估是其中最重要的环节。 一、风险评估概述 信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，或将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。 二、风险评估目的 信息安全风险评估是加强信息安全保障体系建设和管理的关键环节，通过开展信息安全风险评估工作，可以发现信息系统存在的主要问题和矛盾，找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境，信息安全状况，有助于达成共识，明确责任，采取和完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据，帮助信息安全建设者正确判断系统存在风险与漏洞，并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在必威体育官网网址性、完整性、可用性等方面的工作，只有正确、全面地了解理解安全风险后才能决定如何处理安全风险，从而在信息安全的投资，信息安全措施的选择，信息安全保障体系的建设做出合理的决策。 三、风险评估范围 信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理，即信息系统