风险评估教材

风险评估中国信息安全产品测评认证中心PDFcreatedwithFinePrintpdfFactoryProtrialversion自我简介nn刘作康刘作康nnCNITSECCNITSEC--SELSELnnEE--mail:liuzuokang@263.netmail:liuzuokang@263.netPDFcreatedwithFinePrintpdfFactoryProtrialversion认识风险2风险管理体系3风险评估方法4风险评估的实施过程课程内容PDFcreatedwithFinePrintpdfFactoryProtrialversion认识风险1.1参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素课程内容PDFcreatedwithFinePrintpdfFactoryProtrialversion风险管理体系课程内容2.1风险管理的概念2.2风险管理体系介绍2.2.1ISO177992.2.2AS/NZS43602.2.3GAO/AIMD98-68PDFcreatedwithFinePrintpdfFactoryProtrialversion风险评估的方法课程内容3.1风险评估方法概述3.2定量的风险评估3.3定性的风险评估3.4基于要素的风险评估3.5定性风险评估与定量评估的比较PDFcreatedwithFinePrintpdfFactoryProtrialversion风险评估的实施过程课程内容PDFcreatedwithFinePrintpdfFactoryProtrialversion课程练习练习1识别风险练习2定性的风险评估练习3基于要素的风险评估PDFcreatedwithFinePrintpdfFactoryProtrialversion练习一练习一识别风险识别风险1.1.请列举五个信息安全的风险的例子，请列举五个信息安全的风险的例子，并按下面的要求进行描述。并按下面的要求进行描述。2.2.要求：要求：üü按照资产－按照资产－资产所面临的威胁－资产所面临的威胁－可能被可能被威胁利用的脆弱点的顺序来描述每一个风威胁利用的脆弱点的顺序来描述每一个风险。险。PDFcreatedwithFinePrintpdfFactoryProtrialversion对练习一中所识别的风险进行定性分析。对练习一中所识别的风险进行定性分析。2.2.要求：要求：11）列出后果和可能性的定性描述级别）列出后果和可能性的定性描述级别22）依据风险分析矩阵评估风险的级别）依据风险分析矩阵评估风险的级别33）给出各级别风险的处理措施）给出各级别风险的处理措施练习二定性的风险评估PDFcreatedwithFinePrintpdfFactoryProtrialversion背景：背景：••业务部门中有极机密的交易及客户资料业务部门中有极机密的交易及客户资料••这些资料放在公司共用的主机内，并且使用简单的用这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理户名和密码系统管理••业务部门的业务员外出时可利用笔记本电脑经由国际业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料互联网到公司主机中存取该资料请分组讨论请分组讨论••威胁威胁••脆弱性脆弱性••风险等级如何？风险等级如何？练习三基于要素的风险评估PDFcreatedwithFinePrintpdfFactoryProtrialversion注意事项注意事项－积极参与，活跃气氛－守时－移动电话设置到静音状态－紧急情况下有秩序疏散PDFcreatedwithFinePrintpdfFactoryProtrialversion参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素1认识风险PDFcreatedwithFinePrintpdfFactoryProtrialversion重要参考资料ISO133351779915408BS7799-2BSIPD3000AS/NZS4360OCTAVEGAO/AIMD98-68PDFcreatedwithFinePrintpdfFactoryProtrialversion风险评估的目的组织为什么要进行风险评估？PDFcreatedwithFinePrintpdfFactoryProtrialversion组织实现信息安全的必要的、重要的步骤风险评估的目的1.2风险评估的目的l了解组织的安全现状l分析组织的安全需求l建立信息安全管理体系的要求l制订安全策略和实施安防措施的依据PDFcreatedwithFinePrintpdfFactoryProtrialversion风险的定义普通字典的解释：风险：遭受损害或损失的可能性。PDFcreatedwithFinePrintpdfFactoryProtrialversion：澳大利亚/新西兰国家标准：风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。Risk:thechanceofsomethinghappeningthatwillhaveonimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.1.3风险的定义PDFcreatedwithFinePrintpdfFactoryProtrialversionþ后果Consequence以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。þ可能性Likelihood用作对几率或频率的定性描述。þ几率Probability以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。þ频率Frequency以规定时间内所发生的次数来表达的事件发生率的度量。1.3风险的定义与风险有关的名词：PDFcreatedwithFinePrintpdfFactoryProtrialversion:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.1.3风险的定义PDFcreatedwithFinePrintpdfFactoryProtrialversion在信息安全领域，什么是风险？1.3风险的定义PDFcreatedwithFinePrintpdfFactoryProtrialversion信息安全的定义（ISO17799）：Informationsecurityischaracterizedhereasthepreservationof:a)Confidentialityb)Integrityc)Availability信息安全的三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。1.3风险的定义PDFcreatedwithFinePrintpdfFactoryProtrialversion信息安全风险l信息安全风险是指信息资产的机密性、完整性和可用性遭到破坏的可能性。l信息安全风险只考虑那些对组织有负面影响的事件。1.3风险的定义PDFcreatedwithFinePrintpdfFactoryProtrialversion风险的四个要素：l资产及其价值l威胁l脆弱性l现有的和计划的控制措施1.4风险的要素PDFcreatedwithFinePrintpdfFactoryProtrialversionþ资产是任何对组织有价值的东西þ信息也是一种资产，对组织具有价值1.4风险的要素资产PDFcreatedwithFinePrintpdfFactoryProtrialversion风险的要素资产的分类þ电子信息资产þ纸介资产þ软件资产þ物理资产þ人员þ服务性资产þ公司形象和名誉PDFcreatedwithFinePrintpdfFactoryProtrialversion威胁þ威胁是可能导致信息安全事故和组织信息资产损失的活动þ威胁是利用脆弱性来造成后果1.4风险的要素PDFcreatedwithFinePrintpdfFactoryProtrialversion