信息安全风险管理资料.pptVIP

* 如何做到适度？ * * Asset-1评估工具（ 以sp800-26为标准） CC评估工具 美国CSCI公司的RiskPAC评估工具 Risk Watch工具 XACTA工具 * * CORAS： COMA：Component-Oriented Model-based security Analysis COBRA ：Component-based Security Assessment * 4、信息安全风险管理的实施 第三章 信息安全风险管理1 风险评估的一般工作流程 5、信息安全风险管理现状 第三章 信息安全风险管理1 一、国际信息安全风险管理动态 （一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范 5、信息安全风险管理现状 （一）美国：独占鳌头，加强控管 制定了从军政部门、公共部门和私营领域的风险管理政策和指南 形成了军、政、学、商分工协作的风险管理体系 国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制 5、信息安全风险管理现状 DOD：风险评估的领路者 1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。 1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估 1997年，美国国防部发布《国防部IT安全认证认可过程》（DITSCAP）；2000年，国家安全委员会发布了《国家信息保障认证和认可过程》（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估 5、信息安全风险管理现状 DOC/NIST：风险评估的推动者 2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》（SP 800-26） 2002年，NIST发布了《IT系统风险管理指南》（SP 800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。 2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。 5、信息安全风险管理现状 DOC/NIST：风险评估的推动者 从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。 5、信息安全风险管理现状 学术界：风险评估的探索者 美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。 如卡内基梅隆大学： SSE-CMM：信息安全工程能力成熟度模型 OCTAVE：发布了OCTAVE框架，属于自主型信息安全风险评估方法。 5、信息安全风险管理现状 商业界：风险评估的实践者 工具 公司 成熟度 功能 标准 RiskPAC 美国CSCI公司 成熟产品 主要进行定性和定量风险评估 RiskWatch 美国RiskWatch公司 成熟产品，有一定客户群 综合各类相关标准进行风险评估和风险管理 各类信息安全相关标准 XACTA 美国XACTA公司 成熟产品，有一定客户群 主要依据NIACAP、DITSCAP进行CA过程 主要依据ISO 17799、NIACAP、DITSCAP 5、信息安全风险管理现状 （二）欧洲：不甘落后，重在预防 1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略 2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路 3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注 5、信息安全风险管理现状 英国：BS7799享誉全球 英国BSI推出BS 7799，分为两个部分：“BS7799-1:1999 信息安全管理实施细则”、“BS7799-2:2002 信息安全管理体系规范”， 英国CCTA开发了CRAMM风险评估工具，完全遵循BS7799。 英国CA系统安全公司推出了COBRA（ Consultative, Objective and Bi-functional Risk Analysis）工具，由一系列风险分析、咨询和安全评价工具组成。 5、信息安全风险管理现状 德国：日尔曼人的“基线”防御 《德国联邦IT基线防护手册（ITBPM）》以严谨、周密而