您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > CISP0302信息安全风险管理
信息安全风险管理培训机构培训讲师课程内容2知识域:风险管理工作内容知识子域:风险管理工作主要内容掌握建立背景的主要工作内容掌握风险评估的主要工作内容掌握风险处置的主要工作内容掌握批准监督的主要工作内容掌握监控审查的主要工作内容掌握沟通咨询的主要工作内容3风险管理是各行业采取的普遍工作方法4通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。5信息安全工作中的风险管理常见问题问题根源浅析安全投资逐年增加,但看不到收益没有根据风险优先级做安全投资规划,没有抓住主要矛盾,导致有限资金的有效利用率低按照国家要求或行业要求开展信息安全工作,但安全事件仍出现没有根据企业自身安全需求部署安全控制措施,没有突出控制高风险。IT安全需求很多,有限的资金应优先拨向哪个领域决策者没有看到安全投资收益报告,资金划拨无参考依据。当了CIO,时刻担心系统出事,无法预见可能会出什么事没有残余风险清单,在什么条件可被触发,如何做好控制6风险管理是信息安全保障工作有效工作方式好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平。好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。而不是将保贵的资源用于解决所有可能的风险风险管理是一个持续的PDCA管理过程。7什么是信息安全风险管理定义一:GB/Z24364《信息安全风险管理指南》信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。定义二:在组织机构内部识别、优化、管理风险,使风险降低到可接受水平的过程。8正确的风险管理方法9•保护人身安全•遏制损害•评估损害•确定损害部位•修复损害部位•审查响应过程并更新安全策略反应性风险管理•评估风险•实施风险决策•风险控制•评定风险管理的有效性前瞻性风险管理+=•前瞻性风险管理•反应性风险管理风险管理最佳实践流行性感冒是一种致命的呼吸道疾病,美国每年都会有数以百万计的感染者。这些感染者中,至少有100,000人必须入院治疗,并且约有36,000人死亡。您可能会选择通过等待以确定您是否受到感染,如果确实受到感染,则采用服药治疗这种方式来治疗疾病。此外,您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。信息安全风险管理的目标信息安全属性10保密性完整性可用性真实性抗抵赖性信息安全风险术语资产(Asset)威胁源(ThreatAgent)威胁(Threat)脆弱性(Vunerability)控制措施(Countermeasure,safeguard,control)可能性(Likelihood,Probability)影响(Impact,loss)风险(Risk)残余风险(ResidentalRisk)11信息安全风险术语-资产资产是任何对组织有价值的东西,是要保护的对象资产以多种形式存在(多种分类方法)物理的(如计算设备、网络设备和存储介质等)和逻辑的(如体系结构、通信协议、计算程序和数据文件等);硬件的(如计算机主板、机箱、显示器、键盘和鼠标等)和软件的(如操作系统软件、数据库管理软件、工具软件和应用软件等);有形的(如机房、设备和人员等)和无形的(如品牌、信心和名誉等);静态的(如设施和规程等)和动态的(如人员和过程等);技术的(如计算机硬件、软件和固件等)和管理的(如业务目标、战略、策略、规程、过程、计划和人员等)等。12信息安全风险术语-威胁可能导致信息安全事故和组织信息资产损失的活动。威胁源采取恰当的威胁方式才可能引发风险威胁举例:操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析13漏洞利用拒绝服务窃取数据物理破坏社会工程信息安全风险术语-脆弱性与信息资产有关的弱点或安全隐患。造成风险的内因。脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足14信息安全风险术语-控制措施根据安全需求部署,用来防范威胁,降低风险的措施。举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度15信息安全风险术语-可能性指威胁源利用脆弱性造成不良后果的可能性。举例脆弱性只有国家级测试人员采用专业工具才能利用,发生不良后果的可能性很小系统存在漏洞,但只在与互联网物理隔离的局域网运行,发生的可能性较小。互联网公开漏洞且有相应的测试工具,发生不良后果的可能性很大。16信息安全风险术语-影响指威胁源利用脆弱性造成不良后果的程度大小举例网站被黑客控制,国家级网站比省市网站的名誉损失大很多。银行门户网站和内部核心系统受到攻击,其核心系统的损失更大。同样型号路由器被攻破,用于互联网骨干路由要比企业内部系统的路由器损失更大。17信息安全风险术语-风险指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。网站存在SQL注入漏洞,普通攻击者利用自动化攻击工具很容易控制网站,修改网站内容,从而损害国家政府部门声誉18威胁源威胁方式脆弱性风险采取利用造成信息安全风险术语-风险GB/T20984的定义:信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。19对风险的理解风险的五方面威胁源威胁行为脆弱性资产影响20走在路上被陨石砸到走在马路上被汽车撞倒信息安全风险术语之间的关系21威胁源威胁方式脆弱性风险采取利用造成资产不良影响控制措施破坏造成受控制直接影响信息安全风险术语-残余风险指采取了安全措施后,信息系统仍然可能存在的风险。有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视,它可能会在将来诱发新的安全事件举例风险列表中有10类风险,根据风险成本效益分析,只有前8项需要控制,则另2项为残余风险,一段时间内系统处于风险可接受水平。22信息安全风险术语-风险评估信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。23风险评估的理解信息系统的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作,通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。风险评估是风险管理的起点和基础环节风险管理是在倡导适度安全24信息安全风险术语-风险评估vs风险管理风险管理风险评估目标将风险降低到可接受水平确定面临的风险并确定其优先级周期包括风险评估、风险决策、风险控制等所有阶段风险管理中的单个阶段计划持续(PDCA)按需要25信息安全风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询GB/Z24364《信息安全风险管理指南》四个阶段,两个贯穿。26建立背景背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。风险管理准备:确定对象、组建团队、制定计划、获得支持信息系统调查:信息系统的业务目标、技术和管理上的特点信息系统分析:信息系统的体系结构、关键要素信息安全分析:分析安全要求、分析安全环境27背景建立过程背景建立信息系统调查沟通咨询风险评估调查信息系统的业务目标调查信息系统的业务特性调查信息系统的技术特性调查信息系统的管理特性信息系统分析分析信息系统的体系结构分析信息系统的关键要素信息安全分析分析信息系统的安全要求分析信息系统的安全环境风险管理准备监控审查确定风险管理对象组建风险管理团队制定风险管理计划获得支持28风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询29风险评估信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险分析准备:制定风险评估方案、选择评估方法风险要素识别:发现系统存在的威胁、脆弱性和控制措施风险分析:判断风险发生的可能性和影响的程度风险结果判定:综合分析结果判定风险等级30风险评估过程风险评估背景建立风险处理风险结果判定风险分析风险评估准备风险要素识别制定风险评估计划制定风险评估方案选择风险评估方法和工具识别面临的威胁并赋值识别存在的脆弱性并赋值实施风险计算计算安全事件造成的损失计算安全事件发生可能性确认已有的安全措施评价分析结果综合判定风险等级沟通咨询监控审查识别需要保护的资产并赋值31风险管理工作内容建立背景风险评估风险处理批准监督监控审查沟通咨询32风险处理风险处理是为了将风险始终控制在可接受的范围内。现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以处理目标确认:不可接受的风险需要控制到怎样的程度处理措施选择:选择风险处理方式,确定风险控制措施处理措施实施:制定具体安全方案,部署控制措施33风险处理过程风险处理批准监督处理措施选择现存风险判断处理目标确立确定可接受风险等级判断现存风险是否可接受明确风险处理需求确立风险处理目标选择风险处理方式确定风险处理措施制定风险处理实施计划实施风险处理措施沟通咨询监控审查处理措施实施风险评估接受否是34减低风险转移风险规避风险接受风险常用的四类风险处置方法35减低风险通过对面临风险的资产采取保护措施来降低风险首先应当考虑的风险处置措施,通常在安全投入小于负面影响价值的情况下采用。保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。36减低风险的具体办法减少威胁源:采用法律的手段制裁计算机犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机;减低威胁能力:采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;减少脆弱性:及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;37减低风险的具体办法防护资产:采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;降低负面影响:采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。38转移风险通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。39转移风险的具体做法在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。40购买保险服务外包规避风险通过不使用面临风险的资产来避免风险。比如:在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击。通常在风险的损失无法接受,又难以通过控制措施减低风险的情况下41接受风险接受风险是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。用于那些在采取了降低风险和避免风险措施后,出于实际和经
本文标题:CISP0302信息安全风险管理
链接地址:https://www.777doc.com/doc-4936819 .html