版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全与风险管理现在是1页\一共有105页\编辑于星期五安全管理安全管理风险管理信息安全策略规程标准方针基线信息分级安全组织安全教育安全管理主要内容及概述安全计划是公司的安全管理的核心组成部分,目的是保护公司财产。风险分析是确定公司财产,发现构成威胁的风险并评估这些危险变成现实的时可能承受的危害和损失,风险分析的结果帮助管理者采取可行的安全策略,为在公司中发生的活动提供安全方面的指导,说明安全管理在公司安全计划中的价值。安全教育将上面的信息灌输给公司中的每个员工,这样,每一个人都受到教育,从而能够更容易的朝着同一个安全目标前进。现在是2页\一共有105页\编辑于星期五安全管理安全管理过程评定风险和确定需求监控和评估加强意识实施策略和控制安全管理过程是一个不断循环的过程;首先从评估风险和确定需求开始;然后监控和评估相关系统和事件;接下来是加强意识,这包括让企业中的所有相关人员了解需要处理的问题。最后一步是实施解决前面定义的风险和需求的策略和控制。然后这个循环再次从头开始。现在是3页\一共有105页\编辑于星期五安全管理安全管理职责安全计划安全计划须包括目标、范围、方针、优先级、标准和策略。资源有人力资源、资本、硬件以及信息等多种形式。管理职责管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。影响安全计划的因素管理上的支持是安全计划最重要的因素之一。从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正确表述。依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、机密性和可用性。使用一定的手段对安全风险进行评估和分析。必要的资源、资金和战略代表需要参与到安全计划中来现在是4页\一共有105页\编辑于星期五安全管理自顶向下的方法盖房子确定蓝图构建房基构建框架装修,详细的房间的布置制定安全计划根据上级的主导思想和条款制定“蓝图”开发和执行支持这个安全策略的规程、标准和方针确定安全组件、构建安全过程详细的配置设置和系统参数自底向上的方法:在没有足够的管理层支持和知道的时候,IT部门荣祥指定安全计划,就可以使用自底向上的方法;自底向上的方法通产不会很有效,不占主流,而且往往会失败。自顶向下的方法:这个过程坚实系统性的,需要较少的时间、金钱和资源,而且能够在功能和安全保护之间达到合理的平和。现在是5页\一共有105页\编辑于星期五安全管理和支持控制管理的、技术的和物理的控制相互协作物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测技术控制:逻辑访问控制、加密、安全设备、鉴别和认证管理控制:策略、标准、规程、方针、屏蔽人员、安全意识培训公司数据和财产现在是6页\一共有105页\编辑于星期五安全指标安全管理和支持控制安全指标管理控制:包括开发和发布策略、标准、规程以及准则、风险管理,此外还有赛选人员、安全意识培训和变更控制过程。技术控制:包括访问控制机制、密码和资源管理、鉴别和认证方法、按去哪设别以及配置基础架构物理控制:包括控制个人访问设施和各部门,锁定系统,取出不必需要的软驱和CD-ROM驱动器、保护设施、检测润亲以及环境控制。现在是7页\一共有105页\编辑于星期五安全管理和支持控制安全的基本原则安全原则可用性机密性完整性保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当的修改信息,保持信息内部和外部的一致性。可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。现在是8页\一共有105页\编辑于星期五安全定义安全管理和支持控制脆弱性
脆弱性(Vulnerability)是一种软件、硬件或是过程缺陷,这种缺陷也许会给攻击者提供正在寻找的方便之门,这样他就能够进入某台计算机或某个网络,并在这个系统中对资源进行未经授权的访问。威胁威胁(Threat)是威胁因素利用错若星所造成的损失的潜能或是可能性。暴露暴露(Exposure)是因威胁因素而遭受损失的一个案例。对策对策(countermeasure)或者安全措施,可以减轻潜在的风险。安全措施威胁因素威胁脆弱性风险资产暴露引起利用导致可以破坏并且引起一个不能够被预防,通过直接作用到现在是9页\一共有105页\编辑于星期五机构安全框架在网络中评估这些概念的正确顺序为:威胁、暴露、脆弱性、对策,最后为风险。这是因为:如果具有某种威胁(新的SQL攻击),但是除非你所在公司存在对应的脆弱性(采用必要配置的SQL服务器),否则公司不会暴露在威胁之中,这也不会形成脆弱性。如果环境中确实存在脆弱性,就应该采取对应策略,以降低风险。安全管理和支持控制现在是10页\一共有105页\编辑于星期五应用概念的顺序安全管理和支持控制安全框架总体安全机密性完整性可用性代价合理的解决方案安全措施对策法律责任安全意识系统可靠性策略和规程保护需求数据分级功能性评价定量和定性风险评估风险分析定义风险和威胁完整性完整性业务对象机构安全模型包括许多实体、保护机制、逻辑和物理组件、规程和配置组成这些因素在一起相互协作,能够为系统提供一定的安全级别。每个模型都是不相同的,但是所有的模型都分层;每层都为其上层提供支持并未下层提供保护。现在是11页\一共有105页\编辑于星期五安全规划安全管理和支持控制安全规划可以分为三个不同的领域:战略、战术、运作规划。战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更加广阔,其期限可能长达五年。战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与战略计划相比,战略规划的时间更短,或者其远景时间更短。运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准确日期和时间表,以及如果完成这些目标的特别指导。日常目标或操作目标都集中在工作效率和面向任务的活动和说那个,这样才能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战术目标,可能是将所有的工作站和资源都整合到一个地方,这样就可以实现集中控制。长期目标,或战略目标,可能会涉及到如下活动;将所有部门从专用通信线路转移到帧中继方式,为所有的远程用户转杯IPsec虚拟专用网;(VPN)以代替拨号方式,向系统中整个带有必要安全措施是的无线技术。现在是12页\一共有105页\编辑于星期五安全框架-Cobit安全管理和支持控制信息及相关技术控制目标(Cobit)是信息系统审计和控制协会(ISACA)与信息技术治理学院(ITGI)共同开发的一个框架。它定义用于正确管理IT并确保IT满足商业需求的控制目标。Cobit分为四个领域:计划和组织、获取和实施、交付和支持、监控和评估。每个类别又细分为两个子类。Cobit通过这些领域提供控制目标、控制实施、目标指示、性能指示、成功因素和成熟模型。他列出了一个完整的路线图,公司可以遵照路标完成这个模型中的所有34个控制目标。现在是13页\一共有105页\编辑于星期五安全框架——COSO安全管理和支持控制控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。
内部审计工作。控制环境营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响
监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1coso是一个企业治理模型,而Cobit是一个IT治理模型。coso更多面向策略层面,而Cobit则更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法,但只能从it角度来看,因为coso还处理非IT项目,如公司文化、财务会计原则、董事会责任和内部通信结构。现在是14页\一共有105页\编辑于星期五安全框架——ISO17799安全管理和支持控制ISO17799时最常用的标准,它由正式标准——英国标准7799(BS7799)发展而来。这个是一个世界公认的信息安全管理标准,他为企业安全提供高级概念化建议。它由两部分构成;第一部分是一个执行指导,由如何建立一个综合性的信息安全结构体系的指导方针组成;第二部分是一个审计指导,说明一个遵守ISO17799的组织必须满足的要求。组织信息安全策略:详细说明公司安全目标、管理层的支持、安全目标和责任信息安全结构体系的建立:使用安全论坛、安全官员及通过定义安全责任、授权、过程、外包和独立检查,建立和维持一个组织化的安全结构资产分类与控制:通过审计和清单、分类及处理规程建立一个安全结构体系,保护组织资产人员安全:通过筛选员工、定义角色和责任、适当培训员工及记录未达到的预期的目标来降低人员交互的内在风险物理和环境安全:通过正确选择建筑设施位置、建立和维护一个安全周界、实施访问控制及保护设备来保护组织资产通信和运作管理:通过运作规程、正确的变更控制、事故处理、职责分割、产能规划、网络管理和媒介处理执行运作安全。访问控制:根据商业需求、用户管理、认证方法和监控来控制资产访问系统开发和维护:通过制定安全需求、加密、完整性和软件开发规程,在系统生命周期的所有阶段实现安全业务连贯性管理:通过使用联关系规划和测试避免对正常运作的破坏法律遵从:通过技术控制、系统审计和法律意识来遵守法规、合同和法令要求。现在是15页\一共有105页\编辑于星期五安全框架——ITIL安全管理和支持控制服务设计服务战略服务转换服务运营产生财务投资组合需求服务目录服务级别可用性连续性供应商度量趋势分析报告改进事件(Event)事故(Incident)问题技术访问变更资产&配置发布和部署有效性变更资产&配置信息技术基础架构库(ITIL)是IT服务管理最佳实践的事实标准。ITIL是一个可定制的框架,他通过一套书籍或以在线个事提供目标、实现这些目标所需的日常活动,以及满足这些既定目标所需的每个流程的输入和输出值。Cobit定义IT目标,而ITIL则在流程曾面上就如何实现这些目标提供所需采取的步骤。现在是16页\一共有105页\编辑于星期五安全框架——小结安全管理和支持控制Cobit和COSO提供“要实现什么”,而不是“如何实现它”,这就是ITIL和ISO17799存在的原因。要实现什么CobitCOSOISO17799ITIL如何实现它现在是17页\一共有105页\编辑于星期五安全管理安全治理安全治理(SecurityGovernance)在本质上非常类似于企业的IT治理,因为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组织结构内进行,而且都以辅助确保公司的生存和发展为目标——只是侧重点不同。IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义。“治理是董事会和执行管理层履行的一组责任和实践,其目标在于提供策略指导,确保目标得以实现,封信啊得到适当管理,并证明切叶的资源得到合理的利用。”这个定义完全正确,但它仍然非常抽象,这更像一个策略性政策声明,然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实践。对于安全治理而言,必须有什么东西的到治理。一个组织必须执行的所有控制共同成为安全计划现在是18页\一共有105页\编辑于星期五安全管理制定安全计划计划与组织实施运作和维护监控和评估优点:书面策略和规程无法和安全活动相对应,获得不到安全活动的支持。组织内努力保护公司财产的不同个人之间出现眼中分离和混乱没有办法评估进展和开支与资源分配的投资回报没有办法完全了解安全计划的缺陷,也不能用一种标准的方法来改善这些缺陷不能保证遵守法律、法规或策略完全依赖技术来解决所有安全问题拼错独立的解决方案,没有整体的企业解决方案对任何安全违规采用以一种“火警”式的方法,而不是一种平静、主动而探测性的方法。错误的安全意识,产生混乱的潜在倾向。安全计划是一个永不终止的生命周期;现在是19页\一共有105页\编辑于星期五安全管理实施分配任务和责任指定和实施安全策略、规程、标准、基线和指导。确定静态和动态敏感数据。实施以下蓝图(Blueprint)资产确定和管理风险管理脆弱性管理法规遵从身份管理和访问控制变更控制软件开发声明周期业务连贯性规划意识和培训物理安全事故响应实施每个蓝图的解决方案(管理、技术、物理的)。开发每个蓝图的审计和监控解决方案确定每个蓝图的目标、服务等级协议(SLA)和标准。计划和组织计划和组织确定管理承诺成立监督指导委员会评估业务推动力了解组织威胁概况进行风险评估在组织、应用软件、网络和组建鞥开发安全体系结构。确定每个体系结构层面的解决方案获得管理层的批准,以继续向前运作和维护遵循规程,确保所有极限在每个实施的蓝图中的到满足执行内部和外部审计执行每个蓝图中列出的任务管理每个蓝图的服务等级协议监控和评估每个蓝图的核查日志、审计结果、收集的标准值和SLA评估每个蓝图的目标完成情况每季与指导委员会举行会议确定改进步骤,并将其整合到“计划和组织”阶段现在是20页\一共有105页\编辑于星期五安全管理安全框架蓝图整个企业中,遵循这些蓝图可实现标准化、简化标准收集和治理。这些蓝图应遵循最佳时间并符合ISO17799框架。图3-6说明了在制定一个安全计划时这些蓝图发挥作用的地方。现在是21页\一共有105页\编辑于星期五安全管理商业需求私有企业私有企业能够在竞争中兴旺起来,是通过商品销售、可考的管理决策、了解最终用户、了解市场的潮流和动向达到的。对大多数私有企业来说,在三个安全服务指标(可用性、完整性和机密性),数据完整性和可用性通常比机密性更重要。军事机构军方也因为几百他们的竞争对手(其他国家)而发展壮大,这需要合理的训练、准备、智能化和指挥。在三个主要的安全服务指标中(可用性、完整性和机密性)机密性对于军方是最重要的。当然这就会使得军事组织实行更加严格的安全模型,他比私有组织更加强调安全性。现在是22页\一共有105页\编辑于星期五信息风险管理风险是指破坏发生的可能性,以及破坏发生后的衍生情况。信息风险管理(InformationRiskManagement,IRM)指识别并评估风险、将它降低到可接受的水平、执行正确的机制来维持这种水平的过程。关键是在于识别这些威胁,估计他们实际发生的可能性以及他们可能造成的破坏,并采取恰当的措施,将环境的总体风险降低到组织认为可以接受的水平。风险管理概述几种常见风险类型自然损失:火灾,水灾、故意破坏、停电和自然灾害人为破坏:意外或有意行为,或可能降低生产效率的怠惰设备故障:系统或外围设备故障内部与外部攻击:黑客、破解与攻击行为。数据误用:共享商业秘密、欺骗、间谍活动和盗窃数据丢失:通过破坏性方法有意或无意造成信息丢失应用程序错误:计算错误、输入错误和缓冲区溢出。现在是23页\一共有105页\编辑于星期五信息风险管理策略IRM策略主要内容IRM团队的目标公司可接受的风险水平,可接受风险的定义。识别风险的标准过程。IRM策略与机构的策略性规划过程之间的联系IRM承担的责任以及履行这些责任的职务风险与内部控制之间的关系响应风险分析、改变员工行为与资源分配的方法。风险与业绩目标及预算之间的关系检测控制效率的主要指标IRM策略为企业的风险管理过程及步骤提供基础架构,应解决包括人员选拔、内部威胁、物理安全与防火墙在内的一切信息安全问题。同时,它还应为IRM团队如何向高级管理层通报公司风险信息,以及如何执行管理层的风险弱化策略提供指导。恰当的风险管理需要高级管理层的鉴定承诺以及一个文本化流程,这个过程为机构的使命、IRM策略和委任的IRM团队提供支持。信息风险管理现在是24页\一共有105页\编辑于星期五风险管理团队风险管理团队的目标由高级管理层提供明确的风险接受水平文本话的风险评估流程和步骤识别并避免风险的步骤由高级管理层适当分配资源和资金由评估证明有必要制定的应急计划对所有信息资产有关的员工进行安全意识培训有必要的,能够成立特殊领域内的改进(或风险弱化)团队制定出法律及法规遵从要求计划,以控制并履行这些要求制定衡量业绩指标,以测量并管理各种类型的风险能够随环境和公司变化而识别并评估风险综合IRM与组织的变化控制过程,保证这些变化不会形成新的风险。完成目标的必要的条件获得高级管理层的支持,从而对资源进行合理的调配。这个团队也需要一个领导,在大型组织内,这名成员应用50%~70%的时间来处理风险管理工作。管理层必须投入资金对此人进行必要的培训。为其提供风险工具,以确保风险管理工作的顺利进行。信息风险管理现在是25页\一共有105页\编辑于星期五风险分析风险分析概念风险分析(实际上是一种风险管理工具)是识别风险及其可能造成的损失,从而调正安全防护措施的方法。风险分析的作用风险是威胁因素利用脆弱性损害系统或环境的可能性以及发生的频率。风险分析用来保证安全措施是划算的,并能适当而适时地对威胁做出反应。风险分析有4个目标标识财产和他面临的威胁识别脆弱性和威胁量化天灾威胁的商业影响在风险影响和对策费用之间达到预算的平衡风险分析提供了一种成本/收益比,也就是用来保护公司免收威胁安全措施的费用和预料中的损失所需要的代价之间的比值。风险评估需要注意的内容:确定风险评估的范围;调研风险评估的规模以及资产的调研;大多数评估主要针对物理安全、技术安全或人员安全;
确定公司商业目标和安全目标需求;风险分析那个获得成功就需要得到高级管理层的支持和指导;必要的时间和资金来进行分析工作;必要的风险分析团队;信息风险管理现在是26页\一共有105页\编辑于星期五风险分析团队要实现最有效的风险分析,就需要建立一个团队,这个团队的成员可以是管理人员、应用程序员、IT人员、审计员、系统及成员或者运行部经理,这个是必需的。样所有的风险才能被充分了解和量化。评估风险需要注意的问题可能会发生那些时间(威胁事件)?其潜在的影响(风险)是什么?他们多久发生一次(频率)?我们对前面三个问题的答案的正确性有多大的把握(确定性)?通过进行内部调查、访问或举办研讨会。可以收集到许多类似的信息。信息风险管理现在是27页\一共有105页\编辑于星期五信息风险管理资产价值资产可以被赋予定量和定性的度量,不过这些度量方法应该有根有据。资产定价的考虑因素:获取或开发该资产所需的成本维护和保护该资产所需要的成本该资产对所有者和用户所具有的价值该资产对竞争对手所具有的价值只是产权的价值其他人愿意为购买该资产所付出的价格在损失的情况下更换该资产所需的费用在该资产不可用的情况下损失的运行和工作能力。该资产贬值时的债务问题该资产的用处采取什么安全机制和应该花费多少资金来进行保护工作的第一步。确定一项资产的价值,还能够完成一个公司的其他若该需求,包括下面这些。进行有效的成本/收益分析选择特定的对策和安全措施决定保险责任范围了解什么东西正在面临风险资产包括有形资产(计算机、设施、供给品)或无形资产(声誉、数据、知识产权)。由于无形资产的价值会随着时间而变化,所以很难对其进行量化。现在是28页\一共有105页\编辑于星期五信息风险管理威胁和脆弱性的关系威胁因素可能利用的脆弱性导致的威胁病毒缺少反病毒软件病毒感染黑客服务器上运行功能强大的服务对保密信息的非授权访问用户操作系统中配置错误的参数系统故障火灾缺少灭火器材设施和计算机损失,可能造成生命损害雇员松懈的访问控制;缺少审计损坏重要的关键信息;在数据处理应用程序中更改输入输出承包人松懈的访问控制机制盗窃商业机密攻击者写的很差的应用程序;缺少严格的防火墙设置造成缓冲区溢出;进行拒绝服务攻击入侵者缺少安全警卫打破窗户,盗窃计算机和设备现在是29页\一共有105页\编辑于星期五识别威胁威胁源分析根据风险评估目标的业务特点、网络特点,对现实及潜在的威胁源进行分析,以了解目前主要的威胁源及可能的威胁影响。历史安全事件分析对风险评估目标历史发生的信息安全事件进行调研、统计与分析,以了解曾经发生的威胁及产生的威胁影响。实时入侵事件分析通过在重要网段部署入侵检测系统,对实时发生的网络安全入侵事件进行统计与分析,以了解当前发生的威胁及产生的威胁影响。信息风险管理现在是30页\一共有105页\编辑于星期五风险分析常见方法风险分析方法NISTSP800-30和800-60方法,虽然最初设计这些方法是为了在医疗保健领域或其他收官显得行业使用。FRAP,即便利的风险分析过程。OCTAVE,他又卡梅隆大学软件工程学院设计,这种方法撞门为管理和指导公司信息安全风险评估的人员设计。CRAMM,这个碎屑词表示CCTA风险分析和管理方法。这种方法的实施过程与我们前面谈论的方法类似,但他分为3个部分:对策选择、威胁和脆弱性分析、资产估价与识别。生成树分析是一种影响某个系统的所有潜在的威胁和故障以树状加以描绘的风险评估方法。信息风险管理现在是31页\一共有105页\编辑于星期五定量风险方法信息风险管理定量的方法是对策的成本和可能发生的损失大小用具体的数据数字进行量化。在识别威胁和风险的可能性的时候,定量的方法也能够提供具体的可能性百分比。定性的方法将考察各种风险的可能性情况,并将各种威胁的严重程度和财产的敏感程度排列顺序(一个全面的分析可能包含几百种情况)。现在是32页\一共有105页\编辑于星期五安全管理风险分析的步骤1、给信息和资产赋予价值2、估计风险风险的潜在损失.3、进行威胁分析4、对每项威胁计算全部的潜在损失5、减小、转移、避免或是接受风险资产的价值是多少。维护需要多少成本。资产的收益。对于竞争对手来说,他的价值是多少。重建和修复该资产需要多少费用。获取和开发该资产需要多少费用。资产损失,你要负多大的责任。会造成什么物理损失,这样带来多大的成本。生产力损失多少,这会带来多大的成本?如果保密信息被泄露,损失多少。恢复过来的成本是多少。关键的设备出故障,会带来损失。对每项风险和设施的事故计算单次损失期望值(SLE)。从每个部门的人员那里手机有关每种风险发生可能性的信息。检查过去的记录以及提供数据的官方安全资源。计算年发生概率(ARO),也就是每种威胁在一年中可能发生的次数将潜在损失和可能性综合起来使用前3部中计算得到的信息,对每种威胁计算年损失期望值(ALE)为抵消每项风险选择补救措施为每项措施计算成本/收益值减小风险分担风险:买保险从而将部分或全部风险转移接受风险:让分线存在,不花钱采取保护措施避免风险:终端危险的操作现在是33页\一共有105页\编辑于星期五定量风险计算的相关概念信息风险管理资产价值×暴露引资(EF)=SLESLE×
年发生概率(ARO)=ALE单次损失期望值(SLE)和年损失期望值(ALE)。SLE是特定威胁发生的情况下,反映公司潜在损失数额的某个单独的事件所被赋予的财产损失。暴露因子代表一个是在的威胁对于某种特定的资产造成的损失百分比。年发生概率(ARO)是代表了一年中,某个特定威胁发生的可能性的值。现在是34页\一共有105页\编辑于星期五定量风险计算的相关概念风险分析方法是定性分析,这种方法不对各个要素和损失赋予数值和货币价值。定性分析技术包括判断、直觉和经验。定性分析技术的例子有Delphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一会谈以及采访。风险分析团队撰写了一页概况,说明黑客攻击公司内部5太文件服务器访问呢保密信息的情况,并将它发给了预先选定的一个五人小组(IT经理、数据库管理员、应用程序员、系统操作员和运行部经理)。这个预先选定的团队对威胁的严重程度、潜在损失和每种安全措施的有效性,用1~5的等级进行排序,1代表最不严重、最不有效或最不可能。威胁=黑客访问保密信息威胁的严重性威胁发生的可能性给公司造成的潜在损失防火墙的有效性入侵检测系统的有效性蜜罐的有效性IT经理424432数据库管理员444341应用程序员233421系统操作员343421运行部经理544442结果3.63.43.63.831.4信息风险管理现在是35页\一共有105页\编辑于星期五属性定量的定性的不需要计算
×需要更多的复杂计算×
设计大量猜想工作
×提供一般风险领域和指标
×更容易自动化评估×
用于风险管理性能追踪×
提供可信的成本/收益分析×
使用可验证而客观的标准×
提供了那些非常清楚这个过程的职员的意见
×指出了可能在一年之内招致的明确损失×
定量VS.定性定量方法缺点评估方法及结果相对主观无法为成本/收益分析建立货币价值用主观方法很难追踪风险管理目标没有相应的标准。每个供应商解释器评估过程和结果的方式各不相同定性方法缺点计算更加复杂。管理层能够理解这些结果是怎么计算出来的吗?没有自动化的工具可供利用,这个过程完全需要手动完成需要做大量的基础性工作,手机与环境有关的详细信息没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。信息风险管理现在是36页\一共有105页\编辑于星期五保护机制信息风险管理确定风险分析的计算后,下一步是确定现行的安全机制并评估他们的效果。安全措施使用的成本/收益计算公式为:安全措施的成本因素:产品成本设计/计划成本开发成本呢环境修改预期他对策的兼容性维护需求检验需求修复、提花或省级何曾本运行/支持成本工作能力的有效性预定成本监控和相应警报所需的客户劳力解决这款新工具所早晨的问题的成本(实行安全措施之前的ALE)-(实行安全措施之后的ALE)-(安全措施每年的费用)=安全措施对公司的价值现在是37页\一共有105页\编辑于星期五基础模块提供统一的保护提供否决功能默认为最小优先级安全措施及其保护的资产相互独立适应性和功能用户交互用户和管理员之间的清楚界限最少的人为干预资产保护容易升级审计功能最小化对其他组件的依赖性容易被职员使用和接受,并能容忍错误必须产生可用和可以理解的输出必须能够重启安全措施可检测不引入其他危害系统和用户效能普遍应用恰当的警告不影响资产安全措施采购考虑因素信息风险管理现在是38页\一共有105页\编辑于星期五第1步第2步第3部指派资产和信息价值风险分析和评估选择和实施防护措施要进行一项风险分析,公司就因该决定应该保护那些财产以及保护的程度如何。还应该说明保护具体的财产所需的钱数。应该评估依稀可用安全措施的功能,确定那些安全措施对环境最有力。然后评估一下安全差距、成本,并作出比较。这些步骤和结果信息能够保证管理人员的选择和购买防护措施最初最明智和最有远见的决定。综合考虑信息风险管理现在是39页\一共有105页\编辑于星期五信息风险管理总风险VS.剩余风险威胁×脆弱性×资产价值=总风险(威胁×脆弱性×资产价值)×控制间隙=剩余风险威胁×脆弱性×资产价值=总风险(威胁×脆弱性×资产价值)×控制间隙=剩余风险剩余风险和总风险不同,总风险值得是某个公司不实行任何安全措施。这种情况下存在的原因是成本/收益分析的结果。在风险评估中,威胁和脆弱性已经确定了。这些情况发生的可能性乘以遭受风险的资产的价值,就得到了总风险。在控制间隙(控制不能提供的保护)被乘进来以后,结果就是剩余风险。现在是40页\一共有105页\编辑于星期五安全管理成立团队确定范围确定方法确定工具了解可接受的风险等级确定资产分配资产的价值确定脆弱性和威胁计算风险成本/收益分析不确定性分析计划收集信息定义建议减轻风险转移风险接受风险规避风险管理减轻风险选择控制方法实施监控转移风险购买保险接受风险什么也不做规避风险停止活动风险管理计划风险处理方法现在是41页\一共有105页\编辑于星期五策略、规程、标准、基线和方针概述高层需要考虑的问题:安全保障应能够在机构中的每一层都起到应用的作用和功能。应该定义安全问题的方位、需要保护那些东西以及需要保护到什么程度。在设计安全问题的时候,管理人员必须了解他们负责的规章、法律和责任问题,并保证整个公司都完成了所有这些责任和义务。应该确定雇员应该遵守的规范以及违反规范的处理方法。这些决定应该由那些再出问题的时候,能够担负最终责任的人员来确定。一个安全计划包含为公司提供全面保护和长远安全策略必需的所有条款。一个安全计划应该具有安全策略、规程、标准、方针、基线和安全意识培训、意外处理以及遵守程序。人力资源部和法律部门应该加入到开发和加强这些问题的活动中来。应该从实际的角度开发安全策略、规程、标准、方针和规程,以达到最佳效果。高度结构化的机构通常都会更加规范地遵守方针。结构化程度稍差的机构可能就需要更多的解释和强调,从而促进规范的遵守。规则越详细,判断一个人所犯的错误就越容易。不过过分琐碎的文件和规则可能会增加负担,反而没有益处。另一方面,在许多时候,规定越是正式,执行起来就越容易。现在是42页\一共有105页\编辑于星期五策略、规程、标准、基线和方针概述现在是43页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是44页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是45页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是46页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是47页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是48页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是49页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是50页\一共有105页\编辑于星期五策略、规程、标准、基线和方针现在是51页\一共有105页\编辑于星期五策略、规程
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024城市基础设施建设项目特许经营权协议
- 2024年幼儿园教师岗位聘任协议书模板
- 2024专业建设工程项目设计合同范本专业版
- 2024家庭保姆雇佣合同样本
- 2024年先进制造业生产线自动化改造合同
- 2024年度家电行业C型钢部件加工合同
- 2024年废纸回收海运出口协议
- 2024年商场清洁服务合同
- 2024年建筑工程设计与施工一体化合同
- 2024年度智能硬件设备采购与安装合同
- 医院感染管理培训课件消毒剂的选择与使用
- 平台分销返佣合作协议
- 中国城市行政代码
- 低纤维蛋白原血症的护理查房
- 数学4教材介绍
- 全国大学生职业生涯规划大赛
- 肩关节镜术的健康宣教
- 关于学校安全保卫工作存在的问题及对策
- 2024年广西铝业集团有限公司招聘笔试参考题库附带答案详解
- 2024年西藏开发投资集团有限公司招聘笔试参考题库含答案解析
- 爱校主题班会课件
评论
0/150
提交评论