CISP0302信息安全风险管理.pptx

信息安全风险管理,培训机构培训讲师,课程内容,2,知识域：风险管理工作内容,知识子域：风险管理工作主要内容掌握建立背景的主要工作内容掌握风险评估的主要工作内容掌握风险处置的主要工作内容掌握批准监督的主要工作内容掌握监控审查的主要工作内容掌握沟通咨询的主要工作内容,3,风险管理是各行业采取的普遍工作方法,4,通用风险管理定义,定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。,5,信息安全工作中的风险管理,6,风险管理是信息安全保障工作有效工作方式,好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险风险管理是一个持续的PDCA管理过程。,7,什么是信息安全风险管理,定义一：GB/Z 24364信息安全风险管理指南信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。,了解风险+控制风险=管理风险,8,正确的风险管理方法,9,保护人身安全遏制损害评估损害确定损害部位修复损害部位审查响应过程并更新安全策略,反应性风险管理,评估风险实施风险决策风险控制评定风险管理的有效性,前瞻性风险管理,+,=,前瞻性风险管理反应性风险管理,风险管理最佳实践,流行性感冒是一种致命的呼吸道疾病，美国每年都会有数以百万计的感染者。这些感染者中，至少有 100,000 人必须入院治疗，并且约有 36,000 人死亡。您可能会选择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方式来治疗疾病。此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。,信息安全风险管理的目标,信息安全属性,10,信息安全风险术语,资产（Asset）威胁源（Threat Agent）威胁（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影响（Impact,loss）风险（Risk）残余风险（Residental Risk）,11,信息安全风险术语-资产,资产是任何对组织有价值的东西，是要保护的对象资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）；硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）；有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）；静态的（如设施和规程等）和动态的（如人员和过程等）；技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等。,12,信息安全风险术语-威胁,可能导致信息安全事故和组织信息资产损失的活动。威胁源采取恰当的威胁方式才可能引发风险威胁举例：操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析,13,漏洞利用拒绝服务窃取数据物理破坏社会工程,信息安全风险术语-脆弱性,与信息资产有关的弱点或安全隐患。造成风险的内因。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足,14,信息安全风险术语-控制措施,根据安全需求部署，用来防范威胁，降低风险的措施。举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度,15,信息安全风险术语-可能性,指威胁源利用脆弱性造成不良后果的可能性。举例脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的可能性很小系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生的可能性较小。互联网公开漏洞且有相应的测试工具，发生不良后果的可能性很大。,16,信息安全风险术语-影响,指威胁源利用脆弱性造成不良后果的程度大小举例网站被黑客控制，国家级网站比省市网站的名誉损失大很多。银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失更大。,17,信息安全风险术语-风险,指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉,18,威胁源,威胁方式,脆弱性,风险,采取,利用,造成,信息安全风险术语-风险,GB/T 20984的定义：信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。,19,对风险的理解,风险的五方面威胁源威胁行为脆弱性资产影响,20,走在路上被陨石砸到,走在马路上被汽车撞倒,信息安全风险术语之间的关系,21,威胁源,威胁方式,脆弱性,风险,采取,利用,造成,资产,不良影响,控制措施,破坏,造成,受控制,直接影响,信息安全风险术语-残余风险,指采取了安全措施后，信息系统仍然可能存在的风险。有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视，它可能会在将来诱发新的安全事件举例风险列表中有10类风险，根据风险成本效益分析，只有前8项需要控制，则另2项为残余风险，一段时间内系统处于风险可接受水平。,22,信息安全风险术语-风险评估,信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。,23,风险评估的理解,信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节风险管理是在倡导适度安全,24,信息安全风险术语-风险评估vs风险管理,25,信息安全风险管理工作内容,建立背景,风险评估,风险处理,批准监督,GB/Z 24364信息安全风险管理指南 四个阶段，两个贯穿。,26,建立背景,背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。风险管理准备：确定对象、组建团队、制定计划、获得支持信息系统调查：信息系统的业务目标、技术和管理上的特点信息系统分析：信息系统的体系结构、关键要素信息安全分析：分析安全要求、分析安全环境,27,背景建立过程,28,风险管理工作内容,建立背景,风险评估,风险处理,批准监督,