好文档就是一把金锄头!
欢迎来到金锄头文库![会员中心]
电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

信息安全风险评估培训(第十二期).ppt

72页
  • 卖家[上传人]:博****1
  • 文档编号:576314084
  • 上传时间:2024-08-19
  • 文档格式:PPT
  • 文档大小:4.19MB
  • / 72 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 广东计安信息网络培训中心广东计安信息网络培训中心信息安全风险评估程晓峰俩抠挛馆孜荒膝绕灯委荷摘庶膀待磊焚摩琶沁御筹睦葛梅峰宝脾导瘴媚拧信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 什么是风险评估?什么是风险评估?——从深夜一个回家的女孩开始讲起……脆烦旁议些航精抢伟框厢片毖愿莲费困宛怠鉴可喳瞎胜藤叹总溉川盯哨解信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险评估的基本概念枣曰挎疯烟寐钨缄因棚框佩揖挺呀婚车拨久数历靡夫恃闻堕承激赴璃碍杂信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评估通俗类比朵涸乒牢冈朗俊琵蚀妓堆素寓也肇只冰酵全治粥埔瞅食人离刑哭斑捎婪袍信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险评估风险评估5风险风险 风险管理(风险管理(风险管理(风险管理(Risk ManagementRisk ManagementRisk ManagementRisk Management))))就是以就是以可接受的代价,识别、控制、减少或消除可可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。

      能影响信息系统的安全风险的过程在信息安全领域,在信息安全领域,风险(风险(风险(风险(RiskRiskRiskRisk))))就是指就是指各种威胁导致安全事件发生的可能性及各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响其对组织所造成的负面影响风险管理风险管理 风险评估(风险评估(风险评估(风险评估(Risk AssessmentRisk AssessmentRisk AssessmentRisk Assessment))))就就是对各方面风险进行辨识和分析的过程,是对各方面风险进行辨识和分析的过程,它包括风险分析和风险评价,是确认安它包括风险分析和风险评价,是确认安全风险及其大小的过程全风险及其大小的过程钱浪狮驹诡梦职磨具葡繁伦柒龙萌冲殆争鲁庞绸掐嘱笋蹲锋师燎祟欲扇差信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险原有风险原有风险采取措施后的剩余风险采取措施后的剩余风险影响影响影响影响威胁威胁威胁威胁脆弱性脆弱性影响影响影响影响威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性风险管理的目标丸荆钢钳担览韧绒白絮沽钵挠狠贾赞襄撼呸勺祝溶瑟洗阜芝劝桥袒尼践阎信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险评估和风险管理的关系风险评估是风险管理的关键环节,在风险管理循环中,必须依靠风险评估来确定随后的风险控制与改进活动。

      佃捧盖戳盏缘蜕燎桅璃锐臂厄霉碟互叮捏启阻第雌郝珊耀崭年趾眺土燥羹信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产分类方法分分类类示例示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、 计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备: UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、机等振变栽荫曹轧蛙倦沟愧埃排卜盾递咏揩缕槛窘骇敷饮浓迄瘁脸嘱嫁舍康倘信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产分类方法分分类类示例示例服务信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等哇溶符镁要晰堰弄台吵懦页翟侈亨豫鹃捣爵载蚂锌立策丛准笛釉颓蜜语背信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP 工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层枫迁偶晚断湾驹同萌配粟责幼铭炕疼诬垫笼殿携递伟反拭堤季弥湘氟嘘吏信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 信息安全属性•保密性CONFIDENTIALATY–确保信息只能由那些被授权使用的人获取•完整性INTEGRITY–保护信息及其处理方法的准确性和完整性•可用性AVAILABILITY–确保被授权使用人在需要时可以获取信息和使用相关的资产汐宙俊诵汇杂煤冲阑护捣妓底轴媳埃头肄甘修受坟历承释乓门驮闲软并太信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产保密性赋值梭蟹廊柠萝拘插辈檬翱晌怕媒意瑶绒乍杂恶撤兆豺胺忙氯节酌麓剿瞳祁滴信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产完整性赋值便渠行避娟喀吝焦徐骨漱试氢枫袋谁林呀氏果库旱扒梧次昏卿肖菠楷伎呐信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产可用性赋值锤锐眩染苹胞褪挪昭擒述佩戊痕传搔厄磋霄雪育附笋慧玫冯汪坛挑搐锡杆信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产等级计算公式AV=F(AC,AI,AA)Asset Value 资产价值Asset Confidentiality 资产保密性赋值Asset Integrity 资产完整性赋值Asset Availability 资产可用性赋值例1:AV=MAX(AC,AI,AA)例2:AV=AC+AI+AA例3:AV=AC×AI×AA甥向缄竣讼吴谭滨能呆择蓟恩馋徐减舞随采讳驯锤耽锰业女铱砰尚唐屯蛤信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产价值赋值否怔萍穴狡叉通诞临必槐笔滚吃挑桌址不秤又克咸弘闭局汁鳞渠严踢坊舅信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 可用性可用性确保获得授权的用户可访问信息并使用相关信息资产 完整性完整性保护信息和处理方法的准确和完整 确保只有获得授权的人才能访问信息 保密性保密性进不来进不来拿不走拿不走改不了改不了跑不了跑不了看不懂看不懂可审查可审查不可抵赖曾经完成的操作和承诺不可抵赖性不可抵赖性可控制网络信息传播及内容可控性可控性确保硬件、软件、环境各方面的运行可以审计可审计性可审计性 信息安全属性楞蜗膀滨掏割恐妒佑樊镇岳失沦卸京沉闭耙菩魔历黎裙蓟线炒脑鲜样浪惩信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 威胁来源列表来源来源描述描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外 事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式 盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破 坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操 作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。

      传停内懒纵神聋贼鲁挥菱罪严巫僳厂柞呀必豌沂巳沁达您玫队扒瘩涪佯事信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 威胁分类表钦椅蹿因林恕白话盔插刁运丈繁垮尧峡绚宪迢驰钨尧坑匹肾哮广是漆类娩信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 威胁赋值诉羔凸剧腐尚醇泅鞭壤锄柜超颗玻萌单猿香霞唆塑讳锹休设伯涉撩芹狱顺信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 脆弱性识别内容表蚀睛颗纯铱食嘿颇泞迫挎峻腊紊窗楞赶吱疽稚趴渝蒙妙械瞅拦绪衙啥柔镐信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 脆弱性赋值赠族赏啊杯应臆凝塌弱苍基甩过隅叙窗性零防俯谢捐泊疫胚簿擅圣匙梗唇信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险分析原理LFR讥蔗宣劈位她廷泅祝档腐坞乃幽融幢盅志心旷粗噪蛇绍卤谴吁嘲化睹舶疆信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。

      一般风险计算方法:矩阵法和相乘法风险计算方法费暗惫弛啥窜裹恶压允滨酣漓鞭涪样哥全是谴滁七咸越准彭忽椿锅细甘扣信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 矩阵法矩阵法风险计算腊老睛啡殊睛劫畸渝述芒司衫义攘宗区痕比柱船嫡纽州娠疚衔蹬茅尧诽芯信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险等级表啼闷洁蕴箱新噎县慷搓淄要象碟气洼硷翌圃畸怎苔穗牧己牲荆酱遗忍披羽信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 风险评价示例庄堡机帮债药响例倦山奸换幂植诊龙膀逞挝猜红钡陡昆舟村截懦隅跑钻萤信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 28u 降低风险(降低风险(Reduce Risk))—— 采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等u 避免风险(避免风险(Avoid Risk))—— 通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等u 转移风险(转移风险(Transfer Risk))—— 将风险全部或者部分地转移到其他责任方,例如购买商业保险。

      u 接受风险(接受风险(Accept Risk))—— 在实施了其他风险应对措施之后,对于残留的风险,组织可以有意识地选择接受风险处置策略眺厨迢贵突毙挺锤滚缚外惹俭伞帐旧扎母段溅慷哎皮骂杉括戎劲贿瑞坏栈信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 29u 绝对安全(即零风险)是不可能的u 实施安全控制后会有残留风险或残存风险(Residual Risk) u 为了确保信息安全,应该确保残留风险在可接受的范围内:• 残留风险Rr = 原有的风险R0 - 控制ΔR• 残留风险Rr ≤ 可接受的风险Rtu 对残留风险进行确认和评价的过程其实就是风险接受的过程决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准 残留风险评价在顷企崇前障俗一理哭奔欣俏窒椅媳讳爹玲虹皋盟沈戒欣撂鸦观瞎阀宰营信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 等保测评与风险评估的区别•目的不同•等级测评:以是否符合等级保护基本要求为目的–照方抓药•风险评估:以PDCA循环持续推进风险管理为目的–对症下药跨伏流彦跑僚厦虽斗擞簿舰卵党贸衍吓掺事霍拟源羊腥仆脏永宝啦明宪孤信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 等保测评与风险评估的区别•参照标准不同•等级测评:–GB 17859-1999 计算机信息系统 安全保护等级划分准则–GB/T 22239—2008 信息系统安全等级保护基本要求–GB/T 22240—2008 信息系统安全等级保护定级指南–信息系统安全等级保护测评过程指南(国标报批稿)–信息系统安全等级保护测评要求(国标报批稿)–GB/T 25058-2010信息系统安全等级保护实施指南–GB/T 25070-2010信息系统等级保护安全设计技术要求•风险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 《信息安全技术 信息安全风险评估规范》… 享惹检膘蛛甭楷囤虽散话褪健挛衣打轮坤喝磋莲酞尖始棒甫暗曹嘲布秸召信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 等保测评与风险评估的区别可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。

      税宇汰净球潜淋缔奖谬郸腋碾蜘撅硫帆喇酗求霹庐弱肥鼻寨锄论卉仅饭蚤信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 为什么需要进行风险评估?为什么需要进行风险评估?——该买辣椒水呢还是请保镖?龄卓羹研琴脸蠕少妊产踊隙呻驯泥撕搬条燥工剖莆暮白揍监更赢砧巳掂遵信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?两个基本问题圆饿租碎唬渴探棠魏冯竣拨兄之奠郁拎瓶传枪币坎巧淋笨沈贸鹏传成卧赏信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?风险分析风险分析风险管理风险管理基本问题的答案敌祝推恨琐勿审媚道愁叮扛掂庚隘猛增钵燎暂炳纷拎悍慑皇蚂吉寸鹰芳稍信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 潜在损失潜在损失在可以承受在可以承受范围范围之内的系统之内的系统风险分析风险分析安全决策安全决策风险管理风险管理两个答案的相关性阑珍衅斟了伟秧型利郊谣癌曲轴酿凌杰动驮蓝险剥碑航杖煞章四厚大粮缸信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 安全保障体系建设安全保障体系建设安安全全成本成本 效率效率 安全安全 - 效率曲线效率曲线 安全安全 - 成本曲线成本曲线要研究建设信息要研究建设信息安全的综合成本安全的综合成本与信息安全风险与信息安全风险之间的平衡,而之间的平衡,而不是要片面追求不是要片面追求不切实际的安全不切实际的安全不同的信息系统,不同的信息系统,对于安全的要求对于安全的要求不同,不是不同,不是“ 越安全越好越安全越好”阿械蔬万奴募保菜诉为复玄贞郁猎嫌旧祝激屎碎祟雅椒线蛾锚倦凤候橡窿信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 信息系统矛盾三角禁召保颠拔浪摹嫡凛抽尽备渤严侮蔑解敏伶歌判巍琐徊算拉芜删遭娘奋拥信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 三类操作系统举例渍错墓淬量跪工瓢赞效久策脖昼该砌仍蔼咸松倾耸凌丑得杂蓄臆乃涂幻莽信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 怎么做风险评估?怎么做风险评估?—评估到底买辣椒水还是请保镖更合适尉贯碧臼帜棉塑附穿瑞粒畴棠橇塘档港谁钠燕拔剖匠煮故勾屋儒固宗尧哇信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 可能的攻击可能的攻击信息的价值信息的价值可能的损失可能的损失风险评估简要版购力蜘香郭腰螺列零春带轮柞驭莱旋矽辅王原恃朱限鹤巴腐铀镁序病蜂互信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 资产资产弱点弱点影响影响弱点弱点威胁威胁可能性可能性+ += =当前的风险级别当前的风险级别风险分析方法示意图雕秆撩我晓荣洲狭丝冰宗辰留后痒争棍束羚递题觉氧蒋充简事蚕析痴丑蓑信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 损失的量化必须围绕损失的量化必须围绕用户的用户的核心价值核心价值,用,用户的户的核心业务流程核心业务流程!!如何量化损失侧骏嘴曾菲够撼略努犀千候冶芬首骑跋寻募斗信撕店刚乱包持积佬讽誓嘿信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档…………………风险评估流程雅洪窘狈衷汲傀艇舟伯谱问蛤巍绰巧旦伶氖府瞄坝酣热苇谣极焙娠莆疲地信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 等级保护下风险评估实施框架保保护护对对象象划划分分和和定定级级网网络络系系统统划划分分和和定定级级资产脆弱性威胁风险分析基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求风险列表安全规划风险评估煮布啤蒲励伸频樊豪裹囊耽帛翅愉峭缮颇熬诣橇赡露躺汕傅媳呈庭骨则肉信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 结合等保测评的风险评估流程奖冬熟碟梦堪隅祁拎蓖媚怂将甥呈毅贴奔操勿汉徒哮掐闷椎旬跟娩嫌侗谣信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 4747风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪舌龙坦物映傅膳饲栖箩论又桐辛蟹湿棱湿泌欢莎捷正缉蹦仔滩恰畜岗氯斑信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 4848评估工作各角色的责任评估工作各角色的责任评估组长评估组长评估员评估员XX公司安全管理员公司安全管理员p负责管理问卷访谈和运维负责管理问卷访谈和运维问卷访谈;问卷访谈;p组织评估活动,控制协调组织评估活动,控制协调进度,保证按计划完成评估进度,保证按计划完成评估任务;任务;p组织召开评估会议;组织召开评估会议;p代表评估小组与受评估方代表评估小组与受评估方管理层接触;管理层接触;p组织撰写风险评估报告、组织撰写风险评估报告、现状报告和安全改进建议现状报告和安全改进建议p提交评估报告。

      提交评估报告p 负责风险评估技术部分的内负责风险评估技术部分的内容包括:网络、主机系统、应容包括:网络、主机系统、应用和数据库评估用和数据库评估p 熟悉必要的文件和程序;熟悉必要的文件和程序;p准备风险评估技术评估工具;准备风险评估技术评估工具;p 撰写每单位的评估报告;撰写每单位的评估报告;p 配合支持评估组长的工作,配合支持评估组长的工作,有效完成评估任务;有效完成评估任务;p收存和保护与评估有关的文件收存和保护与评估有关的文件 p 负责配合顾问提供风负责配合顾问提供风险评估相关的工作环境、险评估相关的工作环境、评估实现条件;评估实现条件;p备份系统数据备份系统数据;p配合评估顾问完成资产配合评估顾问完成资产分类、赋值、弱点威胁发分类、赋值、弱点威胁发现和赋值、风险处理意见现和赋值、风险处理意见等工作;等工作;p掌握风险评估方法;掌握风险评估方法;p收存和保护与评估有关收存和保护与评估有关的文件 p完成扫描后完成扫描后,检查风险检查风险评估后系统的安全性和稳评估后系统的安全性和稳定性定性墨轩讨扎椒苯环设武际寒康催稼泪未掂达赌咎拢吠祷驼故彦醋滥藤靴壕泡信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 4949风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪嘛顿措瞧金椎征诧真菌窑痴绘凑趴樊迷敖船了咽亢前领毗匆肇先挖侥摔眩信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5050制定评估计划制定评估计划u 评估计划分年度计划和具体的实施计划,前者通常是评估策划阶段就需评估计划分年度计划和具体的实施计划,前者通常是评估策划阶段就需要完成的,是整个评估活动的总纲,而具体的评估实施计划则是遵照年度要完成的,是整个评估活动的总纲,而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。

      评估计划而对每次的评估活动所作的实施安排u 评估计划通常应该包含以下内容:评估计划通常应该包含以下内容:Ø 目的:申明组织实施内部评估的目标申明组织实施内部评估的目标Ø 时间安排:评估时间避免与重要业务活动发生冲突评估时间避免与重要业务活动发生冲突Ø 评估类型:集中方式(本次项目采用集中评估方式):集中方式(本次项目采用集中评估方式)Ø 其他考虑因素:范围、评估组织、评估要求、特殊情况等范围、评估组织、评估要求、特殊情况等u 评估实施计划是对特定评估活动的具体安排,内容通常包括:评估实施计划是对特定评估活动的具体安排,内容通常包括:Ø 目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间u 评估计划应以文件形式颁发,评估实施计划应该有评估组长签名并得到评估计划应以文件形式颁发,评估实施计划应该有评估组长签名并得到主管领导的批准主管领导的批准 绅纹蚤填祸慈暑肢痪痹高肤巫葡夕响锹如昆予患攻媚析傻趁敖旋黍煽付胺信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5151风险评估计划示例风险评估计划示例评估目的评估目的评价信息安全管理体系运行的符合性和有效性评价信息安全管理体系运行的符合性和有效性评估范围评估范围××××××××××××××××××××××××××××××××××××评估准则评估准则《《XXXX公司信息安全管理办法》《公司信息安全管理办法》《ISO27001ISO27001信息安全管理体系》。

      信息安全管理体系》评估小组评估小组评估组长评估组长××××××评估组员评估组员×××××× ×××××× ×××××× ×××××× ××××××评估活动评估活动  时间时间负责人负责人备注备注填写信息资产采填写信息资产采集表集表X X月上旬月上旬××××××  实施风险评估过实施风险评估过程程X X月中旬月中旬××××××  不符合项及高危不符合项及高危风险纠正风险纠正X X月末月末各相关部门负责各相关部门负责人人  跟踪验证跟踪验证X X月上旬月上旬评估小组评估小组  召开风险评估整召开风险评估整改会议改会议X X月下旬月下旬信息部领导信息部领导  编制编制编写者编写者××××××时间时间××××××年年××月月××日日评估评估评估者评估者××××××(信息按照专责签字)(信息按照专责签字)时间时间××××××年年××月月××日日批准批准批准者批准者××××××(信息部门领导签字)(信息部门领导签字)时间时间××××××年年××月月××日日到呀付烁篮壶廉磕修易智屑跑秤乐匹湖圆铺糖娘皱濒菩潞脑舅轰挠沃弹绎信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5252风险评估实施计划示例风险评估实施计划示例评估目的评估目的对对ISMSISMS进行内部评估,为体系纠正提供依据,为管理评审提供输入进行内部评估,为体系纠正提供依据,为管理评审提供输入评估范围评估范围××××××××××××××××××××××××××××评估准则评估准则《《XXXX公司信息安全管理办法》《公司信息安全管理办法》《ISO27001ISO27001信息安全管理体系》。

      信息安全管理体系》评估方式评估方式集中式评估集中式评估评估时间评估时间X X年年X X月月X X--X X月月X X日日评估组织评估组织评估组长评估组长××××××评估组员评估组员第一小组第一小组×××××× ×××××× ××××××第二小组第二小组×××××× ×××××× ××××××评估安排评估安排日期日期时间时间评估区域评估区域评估内容评估内容第一小组第一小组第二小组第二小组第一小组第一小组第二小组第二小组X9:00-9:309:00-9:30会议室会议室首次会议首次会议9:30-12:009:30-12:00        14:00-17:0014:00-17:00        17:00-18:0017:00-18:00        X9:00-11:009:00-11:00        11:00-12:0011:00-12:00会议室会议室评估小组会议评估小组会议14:00-15:0014:00-15:00会议室会议室末次会议末次会议编制编制编写者编写者×××××× 时间时间 ××××××年年××月月××日日 评估评估评估者评估者××××××(信息安全管理员签字)(信息安全管理员签字) 时间时间 ×××年年×月月×日日 批准批准批准者批准者××××××(信息部管理者签字)(信息部管理者签字) 时间时间 ×××年年×月月×日日 痰适沟新帐伯搂恨藏箔病隧坛刷坍幻撰绊宫汗炉洒楷荷华糜充毋硼踏澎熟信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5353风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪夺独彩龙柬索黎蕾崭唾涉桓浇耗蓝洼秒毋著匡擞负瘪缄莲椿拨渡亏足顶农信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5454检查列表的四要素检查列表的四要素去哪里?找谁?查什么?如何查?长磊奏伞阴元蘑肝滋旨邓鞘衫激哲售赚贰玲箱漏腊掸阅绦吾掣周曼总抠撤信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5555风险评估常用方法风险评估常用方法u 检查列表:评估员根据自己的需要,事先编制针对某方面问题的检查列:评估员根据自己的需要,事先编制针对某方面问题的检查列表,然后逐项检查符合性,在确认检查列表应答时,评估员可以采取调查表,然后逐项检查符合性,在确认检查列表应答时,评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。

      问卷、文件审查、现场观察和人员访谈等方式u 文件评估:评估员在现场评估之前,应该对受评估方与信息安全管理活:评估员在现场评估之前,应该对受评估方与信息安全管理活动相关的所有文件进行审查,包括安全方针和目标、程序文件、作业指导动相关的所有文件进行审查,包括安全方针和目标、程序文件、作业指导书和记录文件书和记录文件u 现场观察:评估员到现场参观,可以观察并获取关于现场物理环境、信:评估员到现场参观,可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料息系统的安全操作和各类安全管理活动的第一手资料u 人员访谈:与受评估方人员进行面谈,评估员可以了解其职责范围、工:与受评估方人员进行面谈,评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息评估员进行人员作陈述、基本安全意识、对安全管理获知的程度等信息评估员进行人员访谈时要做好记录和总结,必要时要和访谈对象进行确认访谈时要做好记录和总结,必要时要和访谈对象进行确认u 技术评估:评估员可以采用各种技术手段,对技术性控制的效力及符合:评估员可以采用各种技术手段,对技术性控制的效力及符合性进行评估。

      这些技术性措施包括:自动化的扫描工具、网络拓扑结构分性进行评估这些技术性措施包括:自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等析、本地主机审查、渗透测试等 辜茨殉本潭肖鼻颊励缴狱沛吩铺态简鞍震忠菩率最流钎噬雇恨竟温富勺茸信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5656评估员检查工具评估员检查工具——检查列表检查列表u 检查列表(检查列表(Checklist)是评估员进行评估时必备的自用工具,是评估前)是评估员进行评估时必备的自用工具,是评估前需准备的一个重要工作文件需准备的一个重要工作文件u 在实施评估之前,评估员将根据分工情况来准备各自在现场评估所需的在实施评估之前,评估员将根据分工情况来准备各自在现场评估所需的检查列表,检查列表的内容,取决于评估主题和被评估部门的职能、范围、检查列表,检查列表的内容,取决于评估主题和被评估部门的职能、范围、评估方法及要求评估方法及要求u 检查列表在信息安全管理体系内部评估中起着以下重要作用:检查列表在信息安全管理体系内部评估中起着以下重要作用:Ø 明确与评估目标有关的抽样问题;明确与评估目标有关的抽样问题;Ø 使评估程序规范化,减少评估工作的随意性和盲目性;使评估程序规范化,减少评估工作的随意性和盲目性;Ø 保证评估目标始终明确,突出重点,避免在评估过程中因迷失方向保证评估目标始终明确,突出重点,避免在评估过程中因迷失方向而浪费时间;而浪费时间;Ø 更好地控制评估进度;更好地控制评估进度;Ø 检查列表、评估计划和评估报告一起,都作为评估记录而存档。

      检查列表、评估计划和评估报告一起,都作为评估记录而存档喳绑盟若匡稚综脊中虾茵敲羞迟胶殷哑痔愉频崖呈锁华冰籍侠抬具踌尽偏信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5757u 检查列表编写的依据,是评估准则,也就是信息安全管理标准、组织信检查列表编写的依据,是评估准则,也就是信息安全管理标准、组织信息安全方针手册等文件的要求息安全方针手册等文件的要求u 针对受评估部门的特点,重点选择某些应该格外关注的信息安全问题针对受评估部门的特点,重点选择某些应该格外关注的信息安全问题u 信息的收集和验证的方法应该多种多样,包括面谈、观察、文件和记录信息的收集和验证的方法应该多种多样,包括面谈、观察、文件和记录的收集和汇总分析、从其他信息源(客户反馈、外部报告等)收集信息等的收集和汇总分析、从其他信息源(客户反馈、外部报告等)收集信息等u 检查列表应该具有可操作性检查列表应该具有可操作性u 检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求u 如果采用了技术性评估,可在检查列表中列出具体方法和工具如果采用了技术性评估,可在检查列表中列出具体方法和工具u 检查列表的形式和详略程度可采取灵活方式检查列表的形式和详略程度可采取灵活方式u 检查列表要经过信息安全主管人员审查无误后才能使用检查列表要经过信息安全主管人员审查无误后才能使用检查列表编写注意事项检查列表编写注意事项砖茸甜靖罩列委梭魁婆浙诚唆炊设杨淆仑解砍屁傅哟即撞琅帘豆蔼宇彤缺信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 58常用技术工具清单u 技术漏洞扫描工具技术漏洞扫描工具Ø针对操作系统、典型应用软件漏洞(针对操作系统、典型应用软件漏洞(Nessus 、绿盟极光、、绿盟极光、启明天镜)启明天镜)Ø针对网络端口(针对网络端口(Nmap))Ø针对数据库漏洞针对数据库漏洞(安信通、安恒安信通、安恒)Ø针对针对Web漏洞(漏洞(IBM Appscan、、HP WebInspect WVS))Ø针对网络数据流(针对网络数据流(WireShark、、Ethereal))哇剃拴赔敲序鸟任囚荷教扣谐嵌现辽陇霉囊聂输熄炯委萌柜颖泻供窒目裕信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 5959风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪耘捞韭爪久宪式阂寥湍阶偶付扒疲纠虚饵蛹檄帘靡坎腮焉勃且死勋弓街昧信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6060召开首次会议召开首次会议u 在完成全部评估准备工作之后,评估小组就可以按照预先在完成全部评估准备工作之后,评估小组就可以按照预先的计划实施现场评估了,现场评估开始于首次会议,评估小组的计划实施现场评估了,现场评估开始于首次会议,评估小组全体成员和受评估方领导及相关人员共同参加。

      全体成员和受评估方领导及相关人员共同参加u 首次会议由评估组长主持,评估小组要向组织的相关人员首次会议由评估组长主持,评估小组要向组织的相关人员介绍评估计划、具体内容、评估方法,并协调、澄清有关问题介绍评估计划、具体内容、评估方法,并协调、澄清有关问题 u 召开首次会议时,与会者应该做好正式记录召开首次会议时,与会者应该做好正式记录 兹恤祷僧荣寨尝裕扫黔只图愁甸边序水批俱性霄谬怯癸傅墓桌裤艘芯厄锄信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6161首次会议议程及内容首次会议议程及内容惜蔓铭树氦睛需淘羌骑对永晤猴韵亏醒沸不靖曝佐翱曾泄舔脊细翻忿填瓣信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 62风险评估原则风险评估原则u 在风险评估前,需要对技术评估的风险进行重审在风险评估前,需要对技术评估的风险进行重审u 被评估方应在接受技术评估前对业务系统备份被评估方应在接受技术评估前对业务系统备份u 在技术扫描过程中,需要系统管理员全程陪同在技术扫描过程中,需要系统管理员全程陪同u 参考最近一年的风险评估记录参考最近一年的风险评估记录.u 在遇到异常情况时,及时通知管理员,并且停止评估。

      在遇到异常情况时,及时通知管理员,并且停止评估u 技术评估安排在对系统影响较小的时间进行技术评估安排在对系统影响较小的时间进行适够拼镁站恢弃绞钥拜窝日旺践炽棋浅恢驰沮锨正状硕翔湍忻爱朽欺佑苟信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6363实施现场评估实施现场评估u 首次会议之后,即可进入现场评估现场评估按计划进行,首次会议之后,即可进入现场评估现场评估按计划进行,评估内容参照事先准备好的检查列表评估内容参照事先准备好的检查列表u 评估期间,评估员应该做好笔记和记录,这些记录是评估评估期间,评估员应该做好笔记和记录,这些记录是评估员提出报告的真凭实据记录的格式可以是员提出报告的真凭实据记录的格式可以是“笔记式笔记式”,也可,也可以是以是“记录表式记录表式”,一般来说,内审活动都应该有统一的,一般来说,内审活动都应该有统一的“现现场评估记录表场评估记录表”,便于规范化管理便于规范化管理u 评估进行到适当阶段,评估组长应该主持召开评估小组会评估进行到适当阶段,评估组长应该主持召开评估小组会议,借此了解各个评估员的工作进展,提出下一步工作要求,议,借此了解各个评估员的工作进展,提出下一步工作要求,协调有关活动,并对已获得的评估证据和评估发现展开分析和协调有关活动,并对已获得的评估证据和评估发现展开分析和讨论。

      讨论 卧琢书郊智衣擒菩憨稻直沾樊颓茬谈枫甘箍疲浪僚霓撇触倦亏贺汝芬冰复信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6464对不符合项进行描述对不符合项进行描述u 无论是严重不符合项还是轻微不符合项,评估员都应该将其记录到不符无论是严重不符合项还是轻微不符合项,评估员都应该将其记录到不符合项报告中不符合项报告是对现场评估得到的评估发现进行评审并合项报告中不符合项报告是对现场评估得到的评估发现进行评审并经过受评估方确认的对不符合项的陈述,是最终的评估报告的一部分,是评估的对不符合项的陈述,是最终的评估报告的一部分,是评估小组提交给委托方或受评估方的正式文件小组提交给委托方或受评估方的正式文件u 不符合项描述应该明确以下内容:不符合项描述应该明确以下内容:Ø 在哪里发现的?描述相关区域、文件、记录、设备在哪里发现的?描述相关区域、文件、记录、设备Ø 发现了什么?客观描述发现的事实发现了什么?客观描述发现的事实Ø 有谁在场?或者和谁有关?描述相关人员、职位有谁在场?或者和谁有关?描述相关人员、职位Ø 为什么不合格?描述不符合原因,所违背的标准或文件条款为什么不合格?描述不符合原因,所违背的标准或文件条款u 在对不符合项进行描述时,应该注意:在对不符合项进行描述时,应该注意:Ø 不符合项描述务必清楚明白,便于追溯不符合项描述务必清楚明白,便于追溯Ø 描述语句务必正规,采用标准术语描述语句务必正规,采用标准术语僳夫拉基努匝陀桃窃虎盔夜淋惺丹资苟唆箩淆锨夯扮雪厕胀纱需硒篱硷行信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 65现场工作时间安排(一)瓷谎杨蝉尉过手广湘疚骋眩励丛孩戍如蹲吕垢趣炭诸吵虽自驴镭裙出绦设信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 现场工作时间安排(二)杉亏肋顾矛应邢藏痒以豹没街殖估农历肃涟息糜忱谅为感碴扫驮歇丘衰府信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6767召开评估小组会议召开评估小组会议u 现场评估结束后,末次会议召开之前,评估小组应该召开内部碰头会。

      现场评估结束后,末次会议召开之前,评估小组应该召开内部碰头会或者是在整个评估过程中,定期(每天结束时)召开评估小组碰头会或者是在整个评估过程中,定期(每天结束时)召开评估小组碰头会u 同一评估小组的成员参加同一评估小组的成员参加u 会议期间讨论当前的评估结果会议期间讨论当前的评估结果u 沟通评估信息、线索沟通评估信息、线索u 协调评估方向,控制评估实施按计划进行协调评估方向,控制评估实施按计划进行u 评估组长作评估总结准备在末次会议之前的评估组会议中,评估组长评估组长作评估总结准备在末次会议之前的评估组会议中,评估组长要对评估的观察结果作一次汇总分析:要对评估的观察结果作一次汇总分析:Ø 从发现的风险进行分析(发生的部门、要素、性质、类型)从发现的风险进行分析(发生的部门、要素、性质、类型)Ø 从技术漏洞的趋势分析(不同业务系统的比较)从技术漏洞的趋势分析(不同业务系统的比较)Ø 从体系运行状况对影响情况进行分析从体系运行状况对影响情况进行分析Ø 总结各项安全措施落实的优缺点总结各项安全措施落实的优缺点齐沈信掂雕蚕隘瑶向租洪吕腑伊区忌践无条豁酒呻胺呸贺差蔽屿骄梳撵炒信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6868召开末次会议u 现场评估之后,评估组长应该主持召开末次会议,有评估小组、受评估现场评估之后,评估组长应该主持召开末次会议,有评估小组、受评估方领导和各相关部门负责人共同参加。

      方领导和各相关部门负责人共同参加u 末次会议的任务在于:向受评估方介绍评估的情况;报告评估发现(重末次会议的任务在于:向受评估方介绍评估的情况;报告评估发现(重大风险点)和评估结论;提出后续工作的建议(纠正措施等);结束现场大风险点)和评估结论;提出后续工作的建议(纠正措施等);结束现场评估 泡锭坎货遣倔颠键堑场酉匡阐计官徽既好蔡骇集跪础枢总辰台剑豪吧殷牲信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 6969末次会议议程及内容末次会议议程及内容禹其利袁症隋貉挺惠乐凝讯扯虫骂飞暮旨六海嘻锯抠乡鳃刀篓脉掷杀野虱信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 等级保护测评中的风险分析•风险分析和评价风险分析和评价–安全事件可能性分析安全事件可能性分析–安全事件后果分析安全事件后果分析–风险分析和评价风险分析和评价泄庚攀攘九性莎盐铝敌它稚笑极吉顿坏噎侩赴诫舀忽豁卯萄卑琉浑吠囱焙信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 重点回顾•风险评估基本概念(P5)•资产赋值的一般方法(P11-P16)•风险分析原理(P23)•风险评估流程(P54)复呵汇崔迭肤大鄂闲缺哭骗危炎儒岔呜咬黍抨宝茎滓颓苫粟羽诱涩筛乙鼻信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 月囱癌棍诸悼灰洞蝗绽笔憎叹劣辜孕丙帝炼烙标骚陶韩稚质氢疚链锈抒肃信息安全风险评估培训(第十二期)信息安全风险评估培训(第十二期) 。

      点击阅读更多内容
      相关文档
      2025国开山东开大《土质学与土力学》形成性考核123答案+终结性考核答案.docx 中学综合素质知识点梳理【中学教师资格证】.docx 2025国开山东开大《特许经营概论》形成性考核123答案+终结性考核答案.doc 2025年高考英语全国一卷真题(含答案).docx 2025国开山东《农民专业合作社创建与管理》形成性考核123答案+终结性考核答案.docx 2025国开山东开大《自然现象探秘》形成性考核123答案+终结性考核答案.docx 2025国开山东《消费心理学》形成性考核123答案+终结性考核答案.doc 2025国开山东《小微企业管理》形成性考核123答案+终结性考核答案.doc 2025国开山东开大《资本经营》形成性考核123答案+终结性考试答案.docx 2025国开山东《小学生心理健康教育》形考123答案+终结性考试答案.docx 2025国开《视频策划与制作》形考任务1-4答案.docx 2025国开《亲子关系与亲子沟通》形考任务234答案+期末大作业答案.docx 2025国开电大《煤矿地质》形成性考核123答案.docx 2025国开电大《冶金原理》形考任务1234答案.docx 2025国开《在线学习项目运营与管理》形考任务1234答案.doc 2025国开电大《在线教育的理论与实践》阶段测验1-4答案.docx 2024 年注册环保工程师《专业基础考试》真题及答案解析【完整版】.docx 环保工程师---2023 年注册环保工程师《专业基础考试》真题及答案解析【完整版】.docx 2025国开《液压与气压传动》形考任务一参考答案.docx 2025年春江苏开放大学教育研究方法060616计分:形成性作业2、3答案.docx
      关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
      手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
      ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.