信息安全评估与风险管理

1、信息安全风险评估与风险管理,国家信息中心信息安全服务与研究中心 范红 二00四年九月,管理资源吧（），提供海量管理资料免费下载！,2004-1-12,2,汇报内容,一、前言 二、信息安全风险管理概述 三、信息安全风险管理各组成部分 四、信息安全风险管理的运用 五、结束语,管理资源吧（），提供海量管理资料免费下载！,2004-1-12,3,一、前言,管理资源吧（），提供海量管理资料免费下载！,2004-1-12,4,二、信息安全风险管理概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息

2、安全目标的关系 5、 信息安全风险管理的角色和责任,管理资源吧（），提供海量管理资料免费下载！,2004-1-12,5,二、信息安全风险管理概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息安全目标的关系 5、 信息安全风险管理的角色和责任,管理资源吧（），提供海量管理资料免费下载！,2004-1-12,6,信息安全风险管理的目的和意义,信息安全风险管理是信息安全保障工作中的一项基础性工作 。 1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。 2、信息安全风险管理

3、贯穿信息系统生命周期的全部过程。 3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。,2004-1-12,7,二、信息安全风险管理概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息安全目标的关系 5、 信息安全风险管理的角色和责任,2004-1-12,8,信息安全风险管理的范围和对象,2004-1-12,9,二、信息安全风险管理

4、概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息安全目标的关系 5、 信息安全风险管理的角色和责任,2004-1-12,10,信息安全风险管理的内容和过程,2004-1-12,11,二、信息安全风险管理概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息安全目标的关系 5、 信息安全风险管理的角色和责任,2004-1-12,12,三维结构关系,2004-1-12,13,二、

5、信息安全风险管理概述,1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的内容和过程 4、 信息安全风险管理与信息系统生命周 期和信息安全目标的关系 5、 信息安全风险管理的角色和责任,2004-1-12,14,信息安全风险管理相关人员的角色和责任,2004-1-12,15,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查,2004-1-12,16,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查,2004-1-

6、12,17,对象确立概述,对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。,2004-1-12,18,对象确立过程,2004-1-12,19,风险管理准备,2004-1-12,20,信息系统调查,2004-1-12,21,信息系统分析,2004-1-12,22,信息安全分析,2004-1-12,23,对象确立的文档,2004-1-12,24,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查,2004-1-12,25

7、,风险评估概述,风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。,2004-1-12,26,风险评估过程,2004-1-12,27,风险评估准备,2004-1-12,28,风险因素识别,2004-1-12,29,风险程度分析,2004-1-12,30,风险等级评价,2004-1-12,31,风险评估的文档,2004-1-12,32,风险评估的文档,2004-1-12,33,风险评估的文档,2004-1-12,34,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查,2004-1-12

8、,35,风险控制概述,风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。,2004-1-12,36,风险控制需求及其相应的风险控制措施,2004-1-12,37,主要的风险控制需求及其相应的风险控制措施,2004-1-12,38,主要的风险控制需求及其相应的风险控制措施,2004-1-12,39,主要的风险控制需求及其相应的风险控制措施,2004-1-12,40,风险控制过程,2004-1-12,41,现存风险判断,2004-1-12,42,控制目标确立,2004-1-12,43,控制措施选择,2004-1-12,4

9、4,控制措施实施,2004-1-12,45,风险控制的文档,2004-1-12,46,风险控制的文档,2004-1-12,47,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、沟通与咨询 6、监控与审查,2004-1-12,48,审核批准概述,审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。 审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的

10、专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。,2004-1-12,49,审核批准过程及其在信息安全风险管理中的位置,2004-1-12,50,审核申请,2004-1-12,51,审核处理,2004-1-12,52,批准申请,2004-1-12,53,批准处理,2004-1-12,54,持续监督,2004-1-12,55,审核批准的文档,2004-1-12,56,审核批准的文档,2004-1-12,57,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、监控与审查 6、沟通与咨询,2004-1-12,58,监控与审查的概述,监控与审

11、查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。,2004-1-12,59,监控与审查过程,2004-1-12,60,贯穿对象确立,2004-1-12,61,贯穿风险评估,2004-1-12,62,贯穿风险评估,2004-1-12,63,贯穿风险控制,2004-1-12,64,贯穿风险控制,2004-1-12,65,贯穿审核批准,2004-1-1

12、2,66,贯穿审核批准,2004-1-12,67,监控与审查的文档,2004-1-12,68,三、信息安全风险管理各组成部分,1、对象确立 2、风险评估 3、风险控制 4、审核批准 5、监控与审查 6、沟通与咨询,2004-1-12,69,沟通与咨询的概述,沟通与咨询为信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。,2004-1-12,70,沟通与咨询的方式,2004-1-12

13、,71,沟通与咨询的过程,2004-1-12,72,贯穿对象确立,2004-1-12,73,贯穿风险评估,2004-1-12,74,贯穿风险评估,2004-1-12,75,贯穿风险控制,2004-1-12,76,贯穿风险控制,2004-1-12,77,贯穿审核批准,2004-1-12,78,贯穿审核批准,2004-1-12,79,沟通与咨询的文档,2004-1-12,80,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施阶段 4、运维阶段 5、废弃阶段,2004-1-12,81,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施阶段 4、运维阶段 5、废弃阶段,2

14、004-1-12,82,安全需求和目标,明确安全总体方针 确保安全总体方针源自业务期望 明确项目范围 清晰描述项目范围内所涉及系统的安全现状 提交明确的安全需求文档 清晰描述从系统的那些层次进行安全实现 对实现的可能性进行充分分析、论证 明确评价准则并达成一致,2004-1-12,83,风险管理的过程概述,在项目规划阶段，风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。,2004-1-12,84,风险管理的活动,2004-1-12,85,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施

15、阶段 4、运维阶段 5、废弃阶段,2004-1-12,86,安全需求和目标,对用以实现安全系统的各类技术进行有效性评估。 对用于实施方案的产品需满足安全保护等级的要求 对自开发的软件要在结构设计阶段就充分考虑安全风险,2004-1-12,87,风险管理的过程概述,在设计阶段，风险管理者应能标识出在项目结构实现过程中潜在的安全风险，为设计说明中的安全性设计提供评判依据，并对实施方案中选择的产品进行合格检查，确保项目设计阶段的重要环节均能得到较好的安全风险控制。,2004-1-12,88,风险管理的活动,2004-1-12,89,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施阶段

16、 4、运维阶段 5、废弃阶段,2004-1-12,90,安全需求和目标,实施阶段是按照规划和设计阶段所定义的信息系统实施方案，采购设备和软件，开发定制功能，集成、部署、配置和测试系统，培训人员，并对是否允许系统投入运行进行审核批准。,2004-1-12,91,风险管理的过程概述,实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。,2004-1-12,92,风险管理的活动,2004-1-12,93,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施阶段 4、运维阶段 5、废弃阶段,200

17、4-1-12,94,安全需求和目标,运行维护阶段是在信息系统经过授权投入运行之后，通过风险管理的相关过程和活动，确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性。,2004-1-12,95,风险管理的过程概述,运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审批，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。,2004-1-12,96,运行维护阶段风险管理活动的流程,2004-1-12,97,四、信息安全风险管理的运用,1、规划阶段 2、设计阶段 3、实施阶段 4、运维阶段 5、废弃阶段,2004-1-12,98,安全需求和目标,废弃阶段是对信息系