您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 我国信息安全风险评估工作的现状与发展(PPT 65页)
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网•一、信息安全风险评估概述•二、为什么要做信息安全风险评估•三、我国信息安全风险评估回顾•四、信息安全风险评估今后三年的发展SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估的概念•信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估•人们的认识能力和实践能力是有局限性的,因此,信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为与自然的威胁,存在安全风险也是必然的。•信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估•因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。•因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用信息系统安全风险评估的思想和规范,对信息系统开展安全风险评估。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估是信息系统安全的基础性工作•信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。•风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网风险评估的意义和作用•只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。•进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估是分级防护和突出重点的具体体现•信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点。•风险评估正是这一要求在实际工作中的具体体现。•从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。•安全是风险与成本的综合平衡。•盲目追求安全和完全回避风险是不现实的,也不是分级防护原则所要求的。•要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC加强风险评估工作是当前信息安全工作的客观需要和紧迫需求•由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度。•发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。•在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估的目标和目的•信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。•信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估的基本要素•使命:一个单位通过信息化实现的工作任务。•依赖度:一个单位的使命对信息系统和信息的依靠程度。•资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。•价值:资产的重要程度和敏感程度。•威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估的基本要素•脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。•风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。•残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网信息安全风险评估的基本要素•安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。•安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC——规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2——设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3——集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否能满足要求,并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段4——运行和维护信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时,要对其进行风险评估活动。阶段5——废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。当要废弃或替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的废弃处置,且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC精品资料网•在实施风险评
本文标题:我国信息安全风险评估工作的现状与发展(PPT 65页)
链接地址:https://www.777doc.com/doc-520476 .html