收藏 分销(赏)
立即下载 开通VIP

信息安全风险评估国家标准介绍.pptx

上传人:胜**** 文档编号:1546002 上传时间:2024-05-01 格式:PPTX 页数:103 大小:3.78MB
下载 相关 举报
信息安全风险评估国家标准介绍.pptx_第1页
第1页 / 共103页
信息安全风险评估国家标准介绍.pptx_第2页
第2页 / 共103页
信息安全风险评估国家标准介绍.pptx_第3页
第3页 / 共103页
信息安全风险评估国家标准介绍.pptx_第4页
第4页 / 共103页
信息安全风险评估国家标准介绍.pptx_第5页
第5页 / 共103页
点击查看更多>>
资源描述

1、1信息安全风险评估信息安全风险评估标准化工作情况介绍标准化工作情况介绍国家信息中心信息安全研究与服务中心范红昆明2006年3月2前言前言 20032003年年7 7月以来,信息安全风险评估国家标准月以来,信息安全风险评估国家标准经过前期的调查与研究,开始了编制工作。两年多来,在经过前期的调查与研究,开始了编制工作。两年多来,在国信办和有关主管部门具体指导下,在信安标委大力支持国信办和有关主管部门具体指导下,在信安标委大力支持下,经过科研单位、企业的专家以及业内人士共同努力,下,经过科研单位、企业的专家以及业内人士共同努力,协力工作,目前协力工作,目前信息安全风险评估指南信息安全风险评估指南等标

2、准的编制等标准的编制工作已基本完成。工作已基本完成。现将有关情况简要汇报如下。现将有关情况简要汇报如下。3汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考4汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考5一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证6一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标

3、准草案编制标准草案编制3 3、试点实践验证、试点实践验证7 1、前期研究准备、前期研究准备 20032003年年年年7 7 7 7月月月月,中办发中办发中办发中办发200327200327200327200327号文件对开展信息号文件对开展信息号文件对开展信息号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头息中心牵头息中心牵头息中心牵头,成立了国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信成立了

4、国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;

5、对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基础。础。础。础。8 统统一的风险评估技术标准是规范开展信息安全风险一的风险评估技术标准是规范开展信息安全风险一的风

6、险评估技术标准是规范开展信息安全风险一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发27272727号文件、全面推进我号文件、全面推进我号文件、全面推进我号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准的问题。一的风险评估技术标准的问题。一的风险评估技术标准的问题。一的风险评估技术标准的问题。为

7、此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理

8、工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。范、有效。范、有效。范、有效。9一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证10 根根据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信息中心组织北京信息安全测评中心、上海市测评认证中心、息中心组织

9、北京信息安全测评中心、上海市测评认证中心、息中心组织北京信息安全测评中心、上海市测评认证中心、息中心组织北京信息安全测评中心、上海市测评认证中心、国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及BJCABJCA、上海三零卫、上海三零卫、上海三零卫、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位十几家企事业单位十几家企事业单位十几家

10、企事业单位于于于于2004200420042004年年年年3 3 3 3月月月月29292929日正式启动标准草案的编日正式启动标准草案的编日正式启动标准草案的编日正式启动标准草案的编制工作制工作制工作制工作。起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应确定了编制标准应确定了编制标准应确定了编制标准应遵循的原则遵循的原则遵循的原则遵循的原则:2、标准草案编制、标准草案编制11 1 1 1 1、符合我国现行的信息安全有关法律法规的要求

11、,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实认真贯彻落实认真贯彻落实认真贯彻落实27272727号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的精神;精神;精神;精神;2 2 2 2、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系

12、统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范;3 3 3 3、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;4 4 4 4

13、、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;5 5 5 5、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。实现性和可操作性。实现性和可操作性。实现性和可操

14、作性。12 在在标标准准编编制制的的过过程程中中,标标准准起起草草组组多多次次与与相相关关主主管管部部门门所所属属机机构构的的专专家家代代表表就就技技术术标标准准有有关关主主体体内内容容进进行行会会商商;向向相相关关单单位位发发放放标标准准文文本本,通通过过电电子子邮邮件件等等形形式式广广泛泛征征求求业业界界意意见见;召召开开标标准准讨讨论论会会议议三三十十几几次次,共共收收集集近近100100条修改意见。条修改意见。起起草草组组逐逐一一对对修修改改意意见见进进行行研研究究,在在充充分分吸吸纳纳合合理理成成份份的的基基础础上上,对对信信息息安安全全风风险险评评估估指指南南等等标标准准进进行行了

15、了较大幅度的修改,使标准的体系结构更趋完善、合理。较大幅度的修改,使标准的体系结构更趋完善、合理。13一、标准的制定过程一、标准的制定过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证14 3、试点实践验证、试点实践验证 20052005年年2 2月月,根根据据国国信信办办2005420054号号和和5 5号号文文件件,关关于于在在银银行行、税税务务、电电力力等等部部门门和和电电子子政政务务外外网网,以以及及北北京京、上上海海、黑黑龙龙江江、云云南南等等省省市市,开开展展信信息息安安全全风风险险评评估估试试点点工工作作的的要要求求,标标准准

16、起起草草组组配配合合风风险险评评估估试试点点工工作作专专家家组开展了以下工作:组开展了以下工作:-为各试点单位提供标准草案文本和相关说明;为各试点单位提供标准草案文本和相关说明;-在试点准备阶段与各试点单位的技术骨干进行标在试点准备阶段与各试点单位的技术骨干进行标 准技术交流;准技术交流;-根据标准草案文本涉及的关键技术,起草组成员根据标准草案文本涉及的关键技术,起草组成员 选择试点环节参与实际试点;选择试点环节参与实际试点;-在试点过程中,先后几次召开标准研讨会,征求在试点过程中,先后几次召开标准研讨会,征求 各单位对标准的意见与建议。各单位对标准的意见与建议。15 整整个试点工作历时个试点

17、工作历时7 7个月,个月,各试点单位对标准草案各试点单位对标准草案先后提出先后提出40 多条补充修改意见,标准起草组多条补充修改意见,标准起草组根据试点结根据试点结果果先后进行了三次较大规模的修改。主要内容包括:先后进行了三次较大规模的修改。主要内容包括:-细化了资产的分类方法、脆弱性的识别要求,修细化了资产的分类方法、脆弱性的识别要求,修 改并细化了风险计算的方法;改并细化了风险计算的方法;-对自评估、检查评估不同评估形式的内容与实施对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分;的重点进行了区分;-对风险评估的工具进行了梳理和区分,形成了现对风险评估的工具进行了梳理和区分,形

18、成了现 在的几种类型;在的几种类型;-细化了生命周期不同阶段风险评估的主要内容。细化了生命周期不同阶段风险评估的主要内容。试点实践证明,试行标准基本满足各试点单位评估试点实践证明,试行标准基本满足各试点单位评估工作的需求。工作的需求。16 20052005年年9 9月月1616日日,信信息息安安全全风风险险评评估估指指南南顺顺利利通通过过由由周周仲仲义义院院士士主主持持的的第第一一次次评评审。审。1010月月2727日日第第二二次次专专家家评评审审会会上上,参参评评专专家家一一致致认认为为指指南南的的操操作作性性较较强强,对对开开展展风风险险评评估估工工作作具具有有指指导导作作用用,并并在在国

19、国信信办办组组织织的的风风险险评评估估试试点点中中得得到到了了进进一一步步的的实实践践验验证证和和充充实实完完善善,达到国家标准送审稿的要求,同意通过评审。达到国家标准送审稿的要求,同意通过评审。1212月月1414日日,由由安安标标委委第第五五工工作作组组主主持持召召开开了了由由沈沈昌昌祥祥院院士士为为专专家家组组组组长长的的信信息息安安全全风风险险评评估估指指南南(送送审审稿稿)专专家家评评审审会会,得得到到与与会会专专家的一致肯定并通过评审。家的一致肯定并通过评审。17汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一

20、步工作的几点思考18二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做19二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做201 1、什么是风险评估、什么是风险评估 信信息安全风险评估,是从风险管理角息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱络与信息系统所面临的威胁及其存在的脆弱

21、性,评估安全事件一旦发生可能造成的危害性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据限度地保障网络和信息安全提供科学依据(国信国信办办2006520065号文件号文件)。)。21风险评估要素关系图风险评估要素关系图 22风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;23

22、风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;24风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;25风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;26风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;27风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;28

23、风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。29风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。30风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。31风险评估要素

24、关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。32风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。33风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。34风险评估要素关系图风险评

25、估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。35风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类

26、属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;36风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,

27、依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;37风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与这些要素相椭圆部分的内容是与这些要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实

28、现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;38风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,

29、同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具

30、有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;39风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略

31、对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;40风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部

32、分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁

33、引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6 6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;41风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基

34、本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安

35、全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6 6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;(7 7)安全需求可通过安全措施得以满足,需要结合)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;资产价值考虑实施成本;42风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要

36、素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险

37、越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6 6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;(7 7)安全需求可通过安全措施得以满足,需要结合)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;资产价值考虑实施成本;(8 8)安全措施可抵御威胁,降低风险;)安全措施可抵御威胁,降

38、低风险;43风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;

39、赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6 6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;(7 7)安全需求可通过安全措施得以满足,需要结合)安全需求可通过安全措施得

40、以满足,需要结合资产价值考虑实施成本;资产价值考虑实施成本;(8 8)安全措施可抵御威胁,降低风险;)安全措施可抵御威胁,降低风险;(9 9)残余风险是未被安全措施控制的风险。有些是)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效安全措施不当或无效,需要加强才可控制的风险;而需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的有些则是在综合考虑了安全成本与效益后未去控制的风险;风险;44风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与这些要素相椭圆部分的内容是与这些要素相关的属

41、性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4

42、4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6 6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;(7 7)安全需求可通过安全措施得以满足,需要结合)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;资产价值考虑实施成本;(8 8)安全措施可抵御威胁,降低风险;)安全措施可抵御威胁,降低风险;(9 9)残余风险是未被安全措施控制的风险。有些是)残余风

43、险是未被安全措施控制的风险。有些是安全措施不当或无效安全措施不当或无效,需要加强才可控制的风险;而需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的有些则是在综合考虑了安全成本与效益后未去控制的风险;风险;(1010)残余风险应受到密切监视,它可能会在将来诱)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。发新的安全事件。45二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做462 2、为什么要做风险评估、为什么要做风险评估 安安全源于风险全源于风险。在信息

44、化建设中,建设与运营的网络与信息系统由在信息化建设中,建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。若干不同程度的安全风险。47 风风险评估可以不断深入地发现系统建设中的安险评估可以不断深入地发现系统建设中

45、的安全隐患,全隐患,采取或完善更加经济有效的安全保障措施,采取或完善更加经济有效的安全保障措施,来来消除安全建设中的盲目乐观或盲目恐惧,提出有针消除安全建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方法,提高系统安全的科学对性的从实际出发的解决方法,提高系统安全的科学管理水平,进而全面提升网络与信息系统的安全保障管理水平,进而全面提升网络与信息系统的安全保障能力。能力。48二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做493 3、风险评估怎么做、风险评估怎么做风险评估实施

46、流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图503 3、风险评估怎么做、风险评估怎么做风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图513 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图523 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图533 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要

47、素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图543 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图553 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图563 3、风险评估怎么做、风险评估怎么做 先期

48、准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图573 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图583 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图

49、593 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图603 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图613 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析风险评估实施流程图风险评

50、估实施流程图风险评估实施流程图风险评估实施流程图623 3、风险评估怎么做、风险评估怎么做 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析 文件记录文件记录文件记录文件记录风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图63 实施步骤实施步骤(1)(1)风险评估的准备风险评估的准备(2)(2)资产识别资产识别(3)(3)威胁识别威胁识别(4)(4)脆弱性识别脆弱性识别(5)(5)已有安全措施的确认已有安全措施的确认(6)(6)风险分析风险分析(7)(7)风险评估文件记录风险评估文件记录64 实施步骤实施步骤(1)(1

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服