标签: 信息   安全   风险   管理  
文档信息
上传用户 半缘君     
文档格式 ppt
文档价格 3 元
文档大小 751K
文档页数 111 页
相关文档推荐
doc 湖北省一级建造师《水利水电工程管理与实务》综合练习(II卷) 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测(II卷) 附解析.doc
ppt 信息安全等级保护与解决方案.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》真题C卷 附解析.doc
doc 江西版2020版一年级语文【下册】开学检测试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷B卷 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题A卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题(I卷) 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟真题(II卷) (附解析).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷(I卷) 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题(I卷) 附解析.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题D卷 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题(II卷) (附解析).doc
doc 沪教版2019-2020年度一年级语文【上册】开学检测试题 (附解析).doc
doc 沪教版2020年一年级语文【上册】期中考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测D卷 附答案.doc
doc 沪教版2019版一年级语文下学期期中检测试题 (附答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试题D卷 附答案.doc
doc 沪教版2019-2020年一年级语文【上册】期末考试试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题(II卷) 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题A卷 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测B卷 (附解析).doc
ppt 修订《安全生产法》主要变化.ppt
doc 江西版2020年一年级语文上学期期中检测试题 (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题C卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测B卷 含答案.doc
doc 江西版2020年一年级语文上学期期中考试试题 附解析.doc
doc 沪教版2019版一年级语文【下册】期中检测试题 附解析.doc
doc 沪教版2020年一年级语文下学期期末检测试题 附答案.doc
ppt 信息安全风险评估国家标准编制及内容介绍.ppt
doc 沪教版2019版一年级语文【下册】期中考试试题 (附答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题D卷 (附解析).doc
ppt 信息安全等级保护制度贯彻与实施.ppt
doc 沪教版2019-2020年一年级语文上学期期中考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测(I卷) 含答案.doc
doc 沪教版2019年一年级语文下学期期末考试试题 附解析.doc
doc 沪教版2019-2020年一年级语文【下册】开学检测试题 附解析.doc
doc 江西版2020版一年级语文【上册】期中检测试题 (含答案).doc
doc 江西版2020版一年级语文上学期期中考试试题 含答案.doc
doc 沪教版2019-2020年一年级语文上学期期末检测试题 附答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》考前检测A卷 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试C卷 含答案.doc
ppt 供应商管理流程评估体系介绍.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》模拟真题B卷 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题(II卷) 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷C卷 (附答案).doc
doc 沪教版2019-2020年一年级语文上学期期中检测试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题C卷 (附解析).doc
doc 沪教版2020年一年级语文【下册】期末考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷A卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题(II卷) 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(II卷) 附答案.doc
ppt 信息安全等级保护整改方案设计思路.ppt
ppt 信息网络安全等级保护.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》综合练习D卷 含答案.doc
doc 沪教版2019版一年级语文上学期期中检测试题 (附答案).doc
ppt 信息安全法律法规我国的标准.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》试卷D卷 (含答案).doc
doc 沪教版2020版一年级语文上学期开学考试试题 附解析.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试(II卷) 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试B卷 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷D卷 含答案.doc
doc 沪教版2019版一年级语文下学期期中考试试题 (附答案).doc
ppt 信贷人员财务分析培训材料.ppt
ppt 信息系统的安全保障与质量管理.ppt
doc 江西版2020版一年级语文【上册】期中检测试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题(I卷) 附解析.doc
doc 沪教版2020年一年级语文下学期期中检测试题 (附解析).doc
doc 江西版2019年一年级语文【下册】期中考试试题 附解析.doc
doc 沪教版2020年一年级语文下学期开学检测试题 (附答案).doc
ppt 信息安全标准组织.ppt
doc 江西版2020年一年级语文下学期期中考试试题 (附答案).doc
doc 江西版2020年一年级语文上学期开学考试试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷C卷 (附答案).doc
doc 江西版2020年一年级语文【下册】期末检测试题 附解析.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题(II卷) (附解析).doc
doc 沪教版2019-2020年度一年级语文上学期期中检测试题 含答案.doc
ppt 信息系统安全技术.ppt
doc 江西版2020版一年级语文【下册】期中考试试题 附解析.doc
doc 江西版2020年一年级语文下学期期末检测试题 含答案.doc
ppt 信息安全概述-信息安全的概念.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》模拟试卷(II卷) 附答案.doc
ppt 信贷部培训—信贷风险管控.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》试卷C卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试C卷 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷C卷 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试题A卷 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》测试题D卷 附答案.doc
doc 江西版2020版一年级语文【上册】开学考试试题 附答案.doc
doc 江西版2020年一年级语文下学期开学检测试题 (含答案).doc
ppt 信息安全测评与风险评估教学课件总论.ppt
doc 江西版2020年一年级语文【下册】期中检测试题 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题(II卷) 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题B卷 含答案.doc
doc 沪教版2019版一年级语文【下册】开学考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试(II卷) 附解析.doc
doc 沪教版2019版一年级语文下学期期末检测试题 附解析.doc
doc 沪教版2019-2020年一年级语文上学期开学考试试题 附解析.doc
doc 湖北省一级建造师《水利水电工程管理与实务》综合练习C卷 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题D卷 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试B卷 (附答案).doc
doc 江西版2020版一年级语文【下册】期末考试试题 (含答案).doc
ppt 信息管理标准与法律法规.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》检测题A卷 含答案.doc
doc 沪教版2019版一年级语文上学期期中考试试题 附解析.doc
doc 湖北省一级建造师《水利水电工程管理与实务》模拟真题A卷 (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测(II卷) (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测(II卷) 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题(II卷) (含答案).doc
doc 江西版2020年一年级语文上学期期末考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题D卷 (附解析).doc
ppt 信息安全评估的目的和意义.ppt
doc 江西版2020版一年级语文上学期开学检测试题 (附答案).doc
doc 沪教版2019-2020年一年级语文【下册】期中考试试题 含答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测A卷 (含答案).doc
doc 沪教版2020年一年级语文【下册】期末检测试题 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷(I卷) (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟真题A卷 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷A卷 附解析.doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题B卷 附解析.doc
doc 沪教版2019-2020年一年级语文【下册】期末检测试题 附答案.doc
ppt 信用风险识别与管理.ppt
doc 沪教版2019版一年级语文【下册】开学考试试题 (附解析).doc
doc 江西版2020年一年级语文【下册】开学检测试题 (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题D卷 含答案.doc
doc 沪教版2019版一年级语文上学期开学考试试题 含答案.doc
doc 江西版2019年一年级语文【下册】开学考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习A卷 含答案.doc
doc 沪教版2019-2020年一年级语文【上册】期末检测试题 附解析.doc
doc 江西版2019年一年级语文下学期开学检测试题 (附解析).doc
doc 沪教版2019年一年级语文下学期开学考试试题 (含答案).doc
doc 江西版2019年一年级语文上学期期中检测试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题B卷 (含答案).doc
ppt 信息安全物理安全.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》检测题B卷 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷C卷 (附答案).doc
doc 沪教版2019-2020年一年级语文上学期期中检测试题 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试题D卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习D卷 含答案.doc
ppt 倡导健康生活,追求幸福人生(培训讲座PPT课件).ppt
doc 湖南省一级建造师《水利水电工程管理与实务》测试题(I卷) 含答案.doc
doc 沪教版2019版一年级语文下学期期中检测试题 含答案.doc
ppt 信息安全现状和发展.ppt
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试题C卷 附答案.doc
doc 沪教版2019年一年级语文下学期期中检测试题 附答案.doc
doc 江西版2020年一年级语文【下册】期末检测试题 附答案.doc
doc 沪教版2020年一年级语文上学期期末考试试题 (附答案).doc
ppt 信息安全标准-信息安全.ppt
doc 江西版2020年一年级语文下学期期中检测试题 含答案.doc
doc 江西版2020年一年级语文【下册】开学检测试题 含答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合练习B卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题B卷 附答案.doc
doc 沪教版2019版一年级语文上学期期中检测试题 附答案.doc
doc 沪教版2020年一年级语文上学期开学考试试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题C卷 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷B卷 附答案.doc
doc 沪教版2019-2020年一年级语文【下册】期中检测试题 (含答案).doc
doc 沪教版2020年一年级语文上学期期末考试试题 (含答案).doc
ppt 信息管理系统实例-HIPO.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》真题(I卷) 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题B卷 附解析.doc
doc 沪教版2019版一年级语文【下册】期中考试试题 (附解析).doc
doc 沪教版2019-2020年一年级语文下学期期中检测试题 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题D卷 (含答案).doc
doc 江西版2020年一年级语文上学期期末检测试题 (含答案).doc
doc 沪教版2019版一年级语文上学期开学检测试题 (含答案).doc
doc 沪教版2019-2020年一年级语文【下册】开学检测试题 (附解析).doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题C卷 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题D卷 附解析.doc
doc 沪教版2020年一年级语文上学期开学检测试题 (附解析).doc
ppt 信息技术与管理信息系统.ppt
ppt 信息安全的风险评估管理.ppt
ppt 信息安全知识培训.ppt
doc 沪教版2020年一年级语文【上册】开学考试试题 (附解析).doc
ppt 信息安全评估案例.ppt
doc 河南省一级建造师《水利水电工程管理与实务》综合练习B卷 附答案.doc
ppt 信息系统安全等级与.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习B卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试D卷 附解析.doc
doc 沪教版2019-2020年一年级语文【上册】开学考试试题 附解析.doc
doc 沪教版2019-2020年一年级语文下学期开学检测试题 (含答案).doc
doc 江西版2020年一年级语文【下册】开学考试试题 (含答案).doc
doc 河南省一级建造师《水利水电工程管理与实务》综合练习B卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题C卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试B卷 附解析.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合练习D卷 (附答案).doc
doc 江西版2020版一年级语文【下册】期末检测试题 附解析.doc
ppt 信息系统安全等级保护基础调查.ppt
doc 江西版2020版一年级语文上学期期中检测试题 含答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合练习(II卷) (附解析).doc
doc 沪教版2019-2020年一年级语文【下册】期末考试试题 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测B卷 (附解析).doc
ppt 信息安全技术常识讲义.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》试题A卷 附解析.doc
doc 江西版2019年一年级语文【下册】期中检测试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题D卷 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》综合练习B卷 (附答案).doc
ppt 信息安全管理体系标准培训.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》练习题A卷 含答案.doc
ppt 信息安全评估准则.ppt

信息安全风险管理.ppt

 版权申诉  ppt 信息安全风险管理,,10.1 风险管理概述,“知己知彼,百战不殆。 知己而不知彼,即便获得胜利也损失惨重。既不知已又不知彼,每仗必败。” 为了取得信息安全管理的胜利,必须知己知彼。,10.1.1 知己,首先必须识别、检查和熟悉机构中当前的信息及系统,这是不言而喻的。 要想保护资产就必须熟悉它们是什么,它们对机构的价值,以及可能有哪些漏洞。 资产在这里是指信息及使用、存储和传输这些信息的系统。,10.1.2 知彼,知彼,这就意味着识别、检查并熟悉机构面临的威胁。 必须确定出对机构信息资产的安全影响最直接的威胁。 然后,通过对这些威胁的理解,按照每项资产对于机构的重要程度,建立一个威胁等级列表。,10.1.3 利益团体的作用,机构中的每一个利益团体都有责任管理机构面临的风险,可以从以下三方面的分析中看出: 1.信息安全 因为信息安全团体的成员最了解把风险带入机构的威胁和攻击,所以他们常常在处理风险时处于领导地位。,10.1.3 利益团体的作用,2.管理人员 管理人员和用户经过适当的培训,会对机构面临的威胁有着清醒的认识,在早期的检测和响应阶段起一定的作用。 3. 信息技术 利益团体必须建立安全的系统,并且安全的操作这些系统。 例如,IT操作应进行合理的备份,以避免硬盘故障引起的风险。,10.2 风险管理的基本概念,10.2.1 资产相关概念 1.资产 所谓资产就是被组织赋予了价值、需要保护的有用资源。 在信息安全体系范围内,一项非常重要的工作就是为资产编制清单。 每项资产都应该清晰地定义,合理地估价, 在组织中明确资产所有权关系,对资产进行安全分类,并以文件形式详细记录在案。,10.2.1 资产相关概念,2.资产的价值 资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。 为了明确对资产的保护,有必要对资产进行估价, 其价值大小不仅仅要考虑其自身的价值, 还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。,10.2.1 资产相关概念,因此,在信息系统中资产的价值可以用 信息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。,10.2.1 资产相关概念,3.威胁 威胁是指可能对资产或组织造成损害的事故的潜在原因。 例如,网络系统可能受到来自计算机病毒和黑客攻击的威胁。 4.脆弱性 所谓脆弱性就是资产的弱点或薄弱点,这些弱点可能被威胁利用,造成安全事件的发生,从而对资产造成损害。 脆弱性本身并不会引起损害,它只是为威胁提供了影响资产安全性的条件。,10.2.2 风险管理的相关概念,1.安全风险 所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性, 即特定威胁事件发生的可能性与后果的结合。 通过确定资产价值及相关威胁与脆弱性的水平,可以得出风险的度量值。,10.2.2 风险管理的相关概念,即对信息和信息处理设施的威胁、影响(指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。 作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。,10.2.2 风险管理的相关概念,风险评估的主要任务包括: ·识别组织面临的各种风险; ·评估风险概率和可能带来的负面影响; ·确定组织承受风险的能力; ·确定风险降低和控制的优先等级; ·推荐风险降低对策。 风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具, 包括定性和定量的方法,确定资产风险等级和优先控制顺序。,10.2.2 风险管理的相关概念,2.风险管理 所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 风险管理通过风险评估来识别风险大小,通过制定信息安全方针,使风险被避免、转移或降至一个可被接受的水平。 风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。,,风险管理,,,,,风险识别,,风险评估,,风险控制,图 风险管理过程,10.2.2 风险管理的相关概念,在风险管理过程中,有几个关键的问题需要考虑。 第一,要确定保护的对象是什么?它的直接和间接价值如何? 第二,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 第三,资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何? 第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? 最后,组织应该采取怎样的安全措施才能将风险带来的损失降到最低?解决以上问题的过程,就是风险管理的过程。,10.2.2 风险管理的相关概念,这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析这个概念。 实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。 当然,如果细究起来,风险分析应该是处理风险的总体战略, 风险评估只是风险分析中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。,10.2.2 风险管理的相关概念,3.安全需求 在信息安全体系中,要求组织确认如下安全需求: ·评估出组织所面临的安全风险,并控制这些风险的需求; ·组织、贸易伙伴、签约客户等需要遵守的法律法规及合同的要求; ·组织制订支持业务运作与处理的需求。,10.2.2 风险管理的相关概念,4.安全控制 正如BS7799中所定义的,安全控制就是保护组织资产、防止威胁、减少脆弱性等一系列安全实践、过程和机制。 为获得有效的安全,常常需要把多种安全控制结合起来使用,实现监测、威慑、防护等多种功能。 5.剩余风险 即实施安全控制后,仍然存在的安全风险。,10.2.2 风险管理的相关概念,6.适用性声明 适用性声明是一个包含组织所选择的控制目标与控制方式的文件, 相当于一个控制目标与方式清单,其中应阐述选择与不选择的理由。,10.2.3 风险管理各要素间的关系,风险管理中涉及的安全组成要素之间的关系 如下图所示,具体描述如下:,,威胁,脆弱性,安全控制,安全风险,资产,安全需求,资产价值与潜在影响,,,,,,,,,,,利用,防止,增加,增加,暴露,减少,要求,指出,增加,具有,10.2.3 风险管理各要素间的关系,·资产具有价值,并会受到威胁的潜在影响; ·脆弱性将资产暴露给威胁,威胁利用脆弱性对资产造成影响; ·威胁与脆弱性的增加导致安全风险的增加; ·安全风险的存在对组织的信息安全提出要求; ·安全控制应满足安全需求; ·通过实施安全控制防范威胁,以降低安全风险。,10.3 风险的识别,风险管理策略要求信息安全专业人员将机构的信息资产进行识别、分类,并区分优先次序,来了解资产。 资产是各种威胁以及威胁代理的目标,风险管理的目标就是保护资产不受威胁。 了解了机构的资产后,就可以进入资产的识别阶段。必须对每一项资产的状况和环境进行检查,找出其漏洞。,10.3 风险的识别,之后,就要确定采用的控制措施,并根据这些控制措施对限制攻击所造成的可能损失,来评估控制。 风险识别的过程从机构信息资产的识别和评估其价值开始。,10.3.1 信息资产的识别,风险识别过程是从资产的识别开始的,它包括机构系统的所有要素:人员、过程、数据及信息、软件、硬件和网络, 然后对资产进行分析和归类,在进行深入分析的过程中添加细节。 1.人员、过程及数据资产的识别 人力资源、文件资料及数据信息的识别比确定软、硬件资产更困难。 这个任务应由具有知识、经验及判断力的人员来完成。,10.3.1 信息资产的识别,在决定属于哪一个信息资产时,需要考虑下列资产属性: (1)人员:位置名称/号码;管理人;安全检查级别;特殊能力。 (2)过程:说明;意图;与软件、硬件及网络元素的关系;引用的存储位置;更新的存储位置。 (3)数据:分类;所有者、创建者及管理者;使用的数据结构;数据结构的大小;在线与否;位置;使用的备份过程。,10.3.1 信息资产的识别,2.硬件、软件和网络资产的识别 应该跟踪每个信息资产,了解哪些属性取决于机构需求及其风险管理, 以及信息安全管理和信息安全技术团队的优先权和需求。 决定跟踪哪一种信息资产时,需要考虑名称、IP地址、MAC地址、序列号、制造商名称、软件版本等资产属性。,10.3.2 信息资产的分类,对信息资产进行分类的目的是便于在处理信息时指明保护的需求、优先级和期望程度。 1.分类指导原则 信息资产应当按照它对组织的价值、法律要求、敏感性和关键性予以分类。,10.3.2 信息资产的分类,信息分类的一个事例如下:《中华人民共和国保守国家秘密法》第九条将国家秘密的密级分为“绝密”、“机密”和“秘密”三级。 “绝密”是最重要的国家秘密,泄漏会使国家的安全和利益遭受特别严重的损害; “机密”是重要的国家秘密,泄漏会使国家的安全和利益遭受严重的损害; “秘密”是一般的国家秘密,泄漏会使国家的安全和利益遭受损害。,10.3.2 信息资产的分类,对于信息安全来说,信息资产的分类往往是按照级别进行。 保护级别可通过分析信息资产的保密性、完整性、可用性等安全属性及其他要求进行评估和确定。 这些方面应予以考虑,因为过多的分类会致使实施不必要的控制措施,从而导致成本的增加。,10.3.2 信息资产的分类,同时,在对信息资产进行分类时,对于具有类似安全要求的资产可以一起进行考虑,以便简化分类任务。 总之,对信息资产进行分类是确定如何对信息资产予以处理和保护的简便方法。,10.3.2 信息资产的分类,2.信息标识与处置 在对资产进行科学合理的分类的同时,应当根据资产的分类机制建立并实施一组相应的信息标识和处置程序。 如果系统输出中包含了被分类为敏感或关键的信息,那么该输出中就应当携带享用的分类标识,以便及时进行处理。 这样的项目包括打印报告、屏幕显示、记录介质(例如磁带、磁盘、CD)、电子消息和文件传送等。,10.3.2 信息资产的分类,分类信息的标识和安全处理是信息共享的一个关键要求。 物理标识是常用的标识形式,然而,某些信息资产(诸如电子形式的文件等)不能进行物理标识,此时就需要使用电子标识手段。 如打印报告可采用盖章的方式进行标识,记录的媒介可采用实物标签的形式进行标识,屏幕显示则采用电子形式标识。,10.3.2 信息资产的分类,3.资产分类方法 表10-1所示是标准信息系统的组成与 结合了风险管理和SecSDLC(The Security Systems Development Life Cycle,安全系统的开发生命周期)方法的改进系统的组成。 一些机构还可以将所列的类进一步细分。例如,因特网组件再细分为服务器、网络设备(路由器、集线器、交换机)、保护设备(防火墙、代理服务器)以及电缆。,表10-1 信息系统的组成分类,10.3.2 信息资产的分类,许多机构已建立了数据分类模式。这种分类的例子如机密数据、内部数据和公共数据。 非正规的机构必须组织建立一个便于使用的数据分类模型。 数据分类模型的另一个方面是人员安全调查结构,根据每个人需要了解信息的多少,来确定授予给他查看的信息等级。,10.3.2 信息资产的分类,分类必须全面、互斥,全面意味着所有的信息资产必须对应各部门的资产清单,互斥意味着一份信息资产应该只对应一个种类。 例如,假定机构拥有公钥基础结构认证授权,这是一个提供密钥管理服务的软件应用程序, 通过一个完全的技术标准,分析人员可以在表10-1中把认证授权归类为软件,在软件一类中再归类为应用程序或安全组件。,10.3.3 信息资产评估,在对机构的每一项资产归类时,应提出一些问题,来确定用于信息资产评估或者影响评估的权重标准。 当提出和回答每个问题时,应该准备一个工作表,记录答案,用于以后的分析。 在开始清单处理过程之前,应确定一些评估信息资产价值的最佳标准,要考虑的标准如下:,10.3.3 信息资产评估,(1)哪一项信息资产对于成功是最关键的?当决定每一项资产的相对重要性时,应参考机构的任务陈述或者目标陈述。 根据这些陈述,确定何种要素对于实现的目标是必不可少的,哪个要素支持目标,哪个要素仅仅是附属的。,10.3.3 信息资产评估,(2)哪一项信息资产创造的收效最多?可以根据某一项资产来评估机构的收益,从而决定哪一项信息资产是重要的。 (3)哪一项资产的获利最多?应该根据某项资产来评估机构获利的多少。 (4)哪一项信息资产在替换时最昂贵?有时一项信息资产拥有特殊的价值,因为它是唯一的。 (5)哪一项信息资产的保护费用最高?在这个问题中,应该思考提供控制的成本,一些资产本身是很难保护的。,10.3.3 信息资产评估,(6)哪一项信息资产是最麻烦的,或者泄露后麻烦最大。 完成列出和评估价值的过程后,就可以使用一个简单的过程,来计算每项资产的相对重要性,这个过程称为权重因子分析。,10.3.4 威胁识别,对机构的信息资产进行识别和初步分类后,就要分析机构所面临的威胁。 如果假定每种威胁能够并且即将攻击每项信息资产,方案就会变得非常复杂。 常见的信息安全威胁如表10-2所示。,表10-2 信息安全的威胁,10.3.4 威胁识别,必须检查上表中的每一种威胁,评估它对机构的潜在危害,这种检查称为威胁评估。 可以针对每种威胁提出几个基本问题,例如: (1)在给定的环境下,那一种威胁对机构的资产而言是最危险的? (2)那一种威胁对机构的信息而言是最危险的? (3)从成功的攻击中恢复需要多少费用? (4)防范哪一种威胁的花费最大?,10.3.4 威胁识别,通过提问并回答上面的问题,可为威胁评估建立一个框架。 如果机构有明确的方针或政策,它们会影响整个过程,并提出额外的问题。 上述问题列表容易扩展,以包含其他问题。,10.3.5 安全调查,数据分类方案的另一个方面指的是个人安全调查机构。 在需要安全调查的机构中,必须给每个数据用户分配一个单一的授权等级。 说明他们授权访问的分类等级。这通常给每个员工分配一个指定的角色, 比如数据记录员,程序员、信息安全分析员等。,10.3.6 分类数据的管理,分类数据的管理 分类数据的管理包括这些数据的存储、分布移植及销毁。 另外每个分类的文件应该在每页的顶部和底部 包含适当的标记存储已分类的数据,只有授权的人才能访问它。,10.3.7 漏洞识别,识别了机构的信息资产,为评估它们所面对的威胁制定了一些标准后, 要检查每项信息资产所面对的威胁,并建立一个漏洞列表。 什么是漏洞?它们是威胁代理能够用来攻击信息资产的特定途径。,10.4 风险评估,识别了机构的信息资产








































 版权投诉/申诉   非法内容举报    本页不提供全部页面预览,未展示部分请购买并下载后观看使用