信息安全与风险管理（105页)ppt课件

1、信息平安与风险管理.平安管理平安管理主要内容及概述平安方案是公司的平安管理的中心组成部分，目的是维护公司财富。风险分析是确定公司财富，发现构成要挟的风险并评价这些危险变成现实的时能够接受的危害和损失，风险分析的结果协助管理者采取可行的平安战略，为在公司中发生的活动提供平安方面的指点，阐明平安管理在公司平安方案中的价值。平安教育将上面的信息灌输给公司中的每个员工，这样，每一个人都遭到教育，从而可以更容易的朝着同一个平安目的前进。.平安管理平安管理过程.平安管理平安管理职责平安方案平安方案须包括目的、范围、方针、优先级、规范和战略。资源有人力资源、资本、硬件以及信息等多种方式。.平安管理自顶向下的

2、方法.平安管理和支持控制管理的、技术的和物理的控制相互协作物理控制：设备维护、平安防护、锁定、监控、环境控制、入侵检测技术控制：逻辑访问控制、加密、平安设备、鉴别和认证管理控制：战略、规范、规程、方针、屏蔽人员、平安认识培训公司数据和财富.平安目的平安管理和支持控制.平安管理和支持控制平安的根本原那么.平安定义平安管理和支持控制脆弱性脆弱性（Vulnerability）是一种软件、硬件或是过程缺陷，这种缺陷也许会给攻击者提供正在寻找的方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。威胁威胁（Threat）是威胁因素利用错若星所造成的损失的潜能或是可能性。

3、暴露暴露（Exposure）是因威胁因素而遭受损失的一个案例。对策对策（countermeasure）或者安全措施，可以减轻潜在的风险。平安措施要挟要素要挟脆弱性风险资产暴露引起利用导致可以破坏并且引起一个不可以被预防，经过直接作用到.机构平安框架在网络中评价这些概念的正确顺序为：要挟、暴露、脆弱性、对策，最后为风险。这是由于：假设具有某种要挟新的SQL攻击，但是除非他所在公司存在对应的脆弱性采用必要配置的SQL效力器，否那么公司不会暴露在要挟之中，这也不会构成脆弱性。假设环境中确实存在脆弱性，就应该采取对应战略，以降低风险。平安管理和支持控制.运用概念的顺序平安管理和支持控制平安框架总体平安

4、性完好性可用性代价合理的处理方案平安措施对策法律责任平安认识系统可靠性战略和规程维护需求数据分级功能性评价定量和定性风险评价风险分析定义风险和要挟完好性完好性业务对象.平安规划平安管理和支持控制日常目的或操作目的都集中在任务效率和面向义务的活动和说那个，这样才干保证公司的功能可以以一种平顺而且可以预见的方式实现。中期目的或战术目的，能够是将一切的任务站和资源都整合到一个地方，这样就可以实现集中控制。长期目的，或战略目的，能够会涉及到如下活动；将一切部门从公用通讯线路转移到帧中继方式，为一切的远程用户转杯IPsec虚拟公用网；VPN以替代拨号方式，向系统中整个带有必要平安措施是的无线技术。.平安

5、框架-Cobit平安管理和支持控制.平安框架COSO平安管理和支持控制控制活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产平安和职责分别。监视不断评价内部控制系统的表现。整合实时和独立的评价。管理层和监视活动。 内部审计任务。控制环境 营造单位气氛让公司员工建立内部控制要素包括耿直，品德价值，才干，权威和责任是其他内部控制组成部分的根底信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得构成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制胜利的措施的信息流风险评价 风险评价是为了到达企业目的而确认和分析相关的风险-构成内部控

6、制活动的根底一切的五个部分必需同时作用才干使内部控制得以产生影响 监控信息和沟通控制活动风险评价控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评价控制环境营运财务报告合规性业务单位A业务单位B活动2活动1coso是一个企业治理模型，而Cobit是一个IT治理模型。coso更多面向战略层面，而Cobit那么更关注运营层面。Cobit可以看作是满足许多coso目的的一种方法，但只能从it角度来看，由于coso还处置非IT工程，如公司文化、财务会计原那么、董事会责任和内部通讯构造。.平安框架ISO17799平安管理和支持控制ISO17799时最常用的规范，它由正

7、式规范英国规范7799BS7799开展而来。这个是一个世界公认的信息平安管理规范，他为企业平安提供高级概念化建议。它由两部分构成；第一部分是一个执行指点，由如何建立一个综合性的信息平安构造体系的指点方针组成；第二部分是一个审计指点，阐明一个遵守ISO17799的组织必需满足的要求。.平安框架ITIL平安管理和支持控制效力设计效力战略效力转换效力运营产生财务投资组合需求效力目录效力级别可用性延续性供应商度量趋势分析报告改良事件(Event)事故(Incident)问题技术访问变卦资产&配置发布和部署有效性变卦资产&配置.平安框架小结平安管理和支持控制Cobit和COSO提供“要实现什么，而不是“

8、如何实现它，这就是ITIL和 ISO17799存在的缘由。要实现什么CobitCOSOISO17799ITIL如何实现它.平安管理平安治理平安治理Security Governance在本质上非常类似于企业的IT治理，由于这三者在功能和目的上有重叠的地方。一切这三种治理都在公司的组织构造内进展，而且都以辅助确保公司的生存和开展为目的只是偏重点不同。IT治理学院在第二版中对平安治理的定义。“治理是董事会和执行管理层履行的一组责任和实际，其目的在于提供战略指点，确保目的得以实现，封信啊得到适当管理，并证明切叶的资源得到合理的利用。这个定义完全正确，但它依然非常笼统，这更像一个战略性政策声明，然而真

9、正的技巧是正确解释并将他转化成有意义的战术、运作职能和实际。对于平安治理而言，必需有什么东西的到治理。一个组织必需执行的一切控制共同成为平安方案.平安管理制定平安方案平安方案是一个永不终止的生命周期；.平安管理实施分配义务和责任指定和实施平安战略、规程、规范、基线和指点。确定静态和动态敏感数据。实施以下蓝图Blueprint资产确定和管理风险管理脆弱性管理法规服从身份管理和访问控制变卦控制软件开发声明周期业务衔接性规划认识和培训物理平安事故呼应实施每个蓝图的处理方案管理、技术、物理的。开发每个蓝图的审计和监控处理方案确定每个蓝图的目的、效力等级协议SLA和规范。方案和组织方案和组织确定管理承诺

10、成立监视指点委员会评价业务推进力了解组织要挟概略进展风险评价在组织、运用软件、网络和组建鞥开发平安体系构造。确定每个体系构造层面的处理方案获得管理层的同意，以继续向前运作和维护遵照规程，确保一切极限在每个实施的蓝图中的到满足执行内部和外部审计执行每个蓝图中列出的义务管理每个蓝图的效力等级协议监控和评价每个蓝图的核对日志、审计结果、搜集的规范值和SLA评价每个蓝图的目的完成情况每季与指点委员会举行会议确定改提高骤，并将其整合到“方案和组织阶段.平安管理平安框架蓝图.平安管理商业需求.信息风险管理风险是指破坏发生的能够性，以及破坏发生后的衍生情况。信息风险管理Information Risk Ma

11、nagement，IRM指识别并评价风险、将它降低到可接受的程度、执行正确的机制来维持这种程度的过程。关键是在于识别这些要挟，估计他们实践发生的能够性以及他们能够呵斥的破坏，并采取恰当的措施，将环境的总体风险降低到组织以为可以接受的程度。风险管理概述.信息风险管理战略IRM战略为企业的风险管理过程及步骤提供根底架构，应处理包括人员选拔、内部要挟、物理平安与防火墙在内的一切信息平安问题。同时，它还应为IRM团队如何向高级管理层通报公司风险信息，以及如何执行管理层的风险弱化战略提供指点。恰当的风险管理需求高级管理层的鉴定承诺以及一个文本化流程，这个过程为机构的使命、IRM战略和委任的IRM团队提供

12、支持。信息风险管理.风险管理团队完成目的的必要的条件获得高级管理层的支持，从而对资源进展合理的调配。这个团队也需求一个指点，在大型组织内，这名成员运用50%70%的时间来处置风险管理任务。管理层必需投入资金对此人进展必要的培训。为其提供风险工具，以确保风险管理任务的顺利进展。信息风险管理.风险分析风险分析提供了一种本钱/收益比，也就是用来维护公司免收要挟平安措施的费用和预料中的损失所需求的代价之间的比值。信息风险管理.风险分析团队要实现最有效的风险分析，就需求建立一个团队，这个团队的成员可以是管理人员、运用程序员、IT人员、审计员、系统及成员或者运转部经理，这个是必需的。样一切的风险才干被充分

13、了解和量化。经过进展内部调查、访问或举行研讨会。可以搜集到许多类似的信息。信息风险管理.信息风险管理资产价值资产可以被赋予定量和定性的度量，不过这些度量方法应该有根有据。采取什么平安机制和应该破费多少资金来进展维护任务的第一步。确定一项资产的价值，还可以完成一个公司的其他假设该需求，包括下面这些。进展有效的本钱/收益分析选择特定的对策和平安措施决议保险责任范围了解什么东西正在面临风险资产包括有形资产计算机、设备、供应品或无形资产声誉、数据、知识产权。由于无形资产的价值会随着时间而变化，所以很难对其进展量化。.信息风险管理要挟和脆弱性的关系威胁因素可能利用的脆弱性导致的威胁病毒缺少反病毒软件病毒

14、感染黑客服务器上运行功能强大的服务对保密信息的非授权访问用户操作系统中配置错误的参数系统故障火灾缺少灭火器材设施和计算机损失，可能造成生命损害雇员松懈的访问控制；缺少审计损坏重要的关键信息；在数据处理应用程序中更改输入输出承包人松懈的访问控制机制盗窃商业机密攻击者写的很差的应用程序；缺少严格的防火墙设置造成缓冲区溢出；进行拒绝服务攻击入侵者缺少安全警卫打破窗户，盗窃计算机和设备.识别要挟信息风险管理.风险分析常见方法信息风险管理.定量风险方法信息风险管理.平安管理风险分析的步骤资产的价值是多少。维护需求多少本钱。资产的收益。对于竞争对手来说，他的价值是多少。重建和修复该资产需求多少费用。获取和

15、开发该资产需求多少费用。资产损失，他要负多大的责任。会呵斥什么物理损失，这样带来多大的本钱。消费力损失多少，这会带来多大的本钱？假设严密信息被泄露，损失多少。恢复过来的本钱是多少。关键的设备出缺点，会带来损失。对每项风险和设备的事故计算单次损失期望值SLE。从每个部门的人员那里手机有关每种风险发生能够性的信息。检查过去的记录以及提供数据的官方平安资源。计算年发生概率ARO，也就是每种要挟在一年中能够发生的次数将潜在损失和能够性综合起来运用前3部中计算得到的信息，对每种要挟计算年损失期望值ALE为抵消每项风险选择补救措施为每项措施计算本钱/收益值减小风险分担风险：买保险从而将部分或全部风险转移接

16、受风险：让分线存在，不花钱采取维护措施防止风险：终端危险的操作.定量风险计算的相关概念信息风险管理.定量风险计算的相关概念风险分析方法是定性分析，这种方法不对各个要素和损失赋予数值和货币价值。定性分析技术包括判别、直觉和阅历。定性分析技术的例子有Delphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一谈判以及采访。风险分析团队撰写了一页概略，阐明黑客攻击公司内部5太文件效力器访问呢严密信息的情况，并将它发给了预先选定的一个五人小组IT经理、数据库管理员、运用程序员、系统操作员和运转部经理。这个预先选定的团队对要挟的严重程度、潜在损失和每种平安措施的有效性，用15的等级进展排序，1

17、代表最不严重、最不有效或最不能够。威胁=黑客访问保密信息威胁的严重性威胁发生的可能性给公司造成的潜在损失防火墙的有效性入侵检测系统的有效性蜜罐的有效性IT经理424432数据库管理员444341应用程序员233421系统操作员343421运行部经理544442结果3.63.43.63.831.4信息风险管理.属性定量的定性的不需要计算需要更多的复杂计算设计大量猜想工作提供一般风险领域和指标更容易自动化评估用于风险管理性能追踪提供可信的成本/收益分析使用可验证而客观的标准提供了那些非常清楚这个过程的职员的意见指出了可能在一年之内招致的明确损失定量VS.定性定量方法缺陷评价方法及结果相对客观无法为

18、本钱/收益分析建立货币价值用客观方法很难追踪风险管理目的没有相应的规范。每个供应商解释器评价过程和结果的方式各不一样定性方法缺陷计算更加复杂。管理层可以了解这些结果是怎样计算出来的吗？没有自动化的工具可供利用，这个过程完全需求手动完成需求做大量的根底性任务，手机与环境有关的详细信息没有相应的规范。每个供应商解释其评价过程和结果的方式各不一样。信息风险管理.维护机制信息风险管理确定风险分析的计算后，下一步是确定现行的平安机制并评价他们的效果。平安措施运用的本钱/收益计算公式为：实行平安措施之前的ALE-实行平安措施之后的ALE-平安措施每年的费用=平安措施对公司的价值.根底模块提供一致的维护提供

19、否决功能默以为最小优先级平安措施及其维护的资产相互独立顺应性和功能用户交互用户和管理员之间的清楚界限最少的人为干涉资产维护容易晋级审计功能最小化对其他组件的依赖性容易被职员运用和接受，并能容忍错误必需产生可用和可以了解的输出必需可以重启平安措施可检测不引入其他危害系统和用户效能普遍运用恰当的警告不影响资产平安措施采购思索要素信息风险管理.第1步第2步第3部指派资产和信息价值风险分析和评价选择和实施防护措施要进展一项风险分析，公司就因该决议应该维护那些财富以及维护的程度如何。还应该阐明维护详细的财富所需的钱数。应该评价依稀可用平安措施的功能，确定那些平安措施对环境最有力。然后评价一下平安差距、本钱，并作出比较。这些步骤和结果信息可以保证管理人员的选择和购买防护措施最初最明智和最有远见的决议。综合思索信息风险管理.信息风险管理总风险VS.剩余风险.平安管理成立团队确定范围确定方法确定工具了解可接受的风险等级确定资产分配资产的价值确定脆弱性和要挟计算风险本钱/收益分析不确定性分析方案搜集信息定义建议减轻风险转移风险接受