《第5章 信息安全風(fēng)險(xiǎn)評估實(shí)施流程》由會(huì)員分享，可在線閱讀，更多相關(guān)《第5章 信息安全風(fēng)險(xiǎn)評估實(shí)施流程(25頁珍藏版)》請?jiān)谌巳宋膸炀W(wǎng)上搜索。

1、第第5章章 信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)評估評估 實(shí)施實(shí)施流程流程 趙趙 剛剛 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.1 風(fēng)險(xiǎn)評估準(zhǔn)備 1. 確定風(fēng)險(xiǎn)評估的目標(biāo)確定風(fēng)險(xiǎn)評估的目標(biāo) 2. 確定風(fēng)險(xiǎn)評估的確定風(fēng)險(xiǎn)評估的范圍范圍 3. 組建評估團(tuán)隊(duì)組建評估團(tuán)隊(duì) 4. 進(jìn)行系統(tǒng)調(diào)研進(jìn)行系統(tǒng)調(diào)研 5. 確定評估依據(jù)和方法確定評估依據(jù)和方法 6. 制定評估方案制定評估方案 7. 獲得最高管理者獲得最高管理者支持支持 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.2 資產(chǎn)識(shí)別 5.2.1 工作內(nèi)容 1. 回顧評估范圍內(nèi)的業(yè)務(wù)回顧評估范圍內(nèi)的業(yè)務(wù) 2. 識(shí)別信息資產(chǎn)，進(jìn)行合理分類識(shí)別信息資產(chǎn)，進(jìn)行合理。

2、分類 3. 確定每類信息資產(chǎn)的安全需求確定每類信息資產(chǎn)的安全需求 4. 為每類信息資產(chǎn)的重要性為每類信息資產(chǎn)的重要性賦值賦值 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.2.2 參與人員 5.2.3 工作方式 1 . 評估評估范圍之內(nèi)的業(yè)務(wù)范圍之內(nèi)的業(yè)務(wù)識(shí)別識(shí)別 2. 資產(chǎn)的識(shí)別與分類資產(chǎn)的識(shí)別與分類 3. 安全需求分析安全需求分析 4. 資產(chǎn)賦值資產(chǎn)賦值 5.2 資產(chǎn)識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.2 資產(chǎn)識(shí)別 分類示例 數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管 理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等。 軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工。

3、具軟件、各種庫等； 應(yīng)用軟件：外部購買的應(yīng)用軟件、外包開發(fā)的應(yīng)用軟件等； 源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等。 硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等； 計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等； 存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等； 傳輸線路：光纖、雙絞線等； 保障設(shè)備：動(dòng)力保障設(shè)備(UPS、變電設(shè)備等)、空調(diào)、保險(xiǎn)柜、文件柜、門禁、 消防設(shè)施等； 安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗(yàn)證等； 其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等。 服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn) 管理等服務(wù)；。

4、 網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)； 信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)。 文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等。 人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目負(fù)責(zé) 人等。 其它企業(yè)形象、客戶關(guān)系等。 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.2.4 工具及資料 1. 自動(dòng)化工具自動(dòng)化工具 2. 手工記錄手工記錄表格表格 3. 輔助輔助材料材料 5.2 資產(chǎn)識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 資產(chǎn)識(shí)別記錄表 項(xiàng)目名稱或編號(hào) 表格編號(hào) 資產(chǎn)識(shí)別活動(dòng)信息 日期 起止時(shí)間 訪談?wù)?訪談對象及說明 地點(diǎn)說明 記錄信息 。

5、所屬業(yè)務(wù) 業(yè)務(wù)編號(hào) 所屬類別 類別編號(hào) 資產(chǎn)名稱 資產(chǎn)編號(hào) IP地址 物理位置 功能描述 保密性要求 完整性要求 可用性要求 重要程度 安全控制措施 負(fù)責(zé)人 備注 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.2 資產(chǎn)識(shí)別 5.2.5 輸出結(jié)果 資產(chǎn)及評價(jià)報(bào)告 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.3 威脅識(shí)別 5.3.1 工作內(nèi)容 1. 威脅識(shí)別威脅識(shí)別 2. 威脅威脅分類分類 3. 威脅威脅賦值賦值 4. 構(gòu)建威脅構(gòu)建威脅場景場景 5.3.2 參與人員 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.3.3 工作方式 1. 威脅識(shí)別威脅識(shí)別 (1)針對實(shí)際威脅的識(shí)別活動(dòng) (2)。

6、針對潛在威脅的識(shí)別活動(dòng) 2. 威脅威脅分類分類 3. 構(gòu)建構(gòu)建威脅威脅場景場景 4. 威脅賦值威脅賦值 5.3.4 工具及資料 5.3 威脅識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 來源描述 環(huán)境因素 由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、 火災(zāi)、地震等環(huán)境條件或自然災(zāi)害，意外事故或軟件、硬件、數(shù)據(jù)、 通訊線路方面的故障 人為 因素 惡意人員 不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益； 外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性 和可用性進(jìn)行破壞，以獲取利益或炫耀能力 非惡意人員 內(nèi)。

7、部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵 循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo) 致信息系統(tǒng)故障或被攻擊 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.3.5 輸出結(jié)果 威脅列表； 關(guān)鍵資產(chǎn)的威脅場景。 5.3 威脅識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.4.1 工作內(nèi)容 5.4.2 參與人員 序號(hào)活動(dòng)名稱 參與人員 來自于評估單位來自于被評估單位 1脆弱性識(shí)別 項(xiàng)目負(fù)責(zé)人 脆弱性識(shí)別小組 項(xiàng)目負(fù)責(zé)人 識(shí)別活動(dòng)中配合人員 或訪談對象 2脆弱性識(shí)別結(jié)果整理與展現(xiàn)脆弱性識(shí)別小組 3脆弱性賦值脆弱性識(shí)別小。

8、組 5.4 脆弱性識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.4.3 工作方式 1. 脆弱性脆弱性識(shí)別識(shí)別方法方法 2. 脆弱性識(shí)別脆弱性識(shí)別原則原則 (1)全面考慮和突出重點(diǎn)相結(jié)合的原則 (2)局部與整體相結(jié)合的原則 (3)層次化原則 (4)手工與自動(dòng)化工具相結(jié)合的原則 3. 脆弱性識(shí)別內(nèi)容脆弱性識(shí)別內(nèi)容 5.4 脆弱性識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.4.3 工作方式 4. 脆弱性脆弱性賦值賦值 5. 脆弱性分類的脆弱性分類的設(shè)計(jì)設(shè)計(jì) 5.4 脆弱性識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.4.4 工具及。

9、資料 1. 漏洞漏洞掃描掃描工具工具 2. 各類檢查各類檢查列表列表 3. 滲透滲透測試測試 5.4.5 輸出結(jié)果 1. 原始原始的識(shí)別的識(shí)別結(jié)果結(jié)果 2. 漏洞漏洞分析報(bào)告分析報(bào)告 5.4 脆弱性識(shí)別 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.5 已有安全措施確認(rèn) 5.5.1 工作內(nèi)容 5.5.2 參與人員 序 號(hào) 活動(dòng)名稱 參與人員 來自于評估單位來自于被評估單位 1 技術(shù)控制措施 的識(shí)別與確認(rèn) 項(xiàng)目負(fù)責(zé)人 安全控制措施識(shí)別小組 項(xiàng)目負(fù)責(zé)人 識(shí)別活動(dòng)中配合人員或訪談對 象，主要包括被評估組織的安 全主管、負(fù)責(zé)安全的管理員 2 管理和操作控 制措施的識(shí)別 與確認(rèn) 項(xiàng)目負(fù)責(zé)人 安全控制措。

10、施識(shí)別小組 項(xiàng)目負(fù)責(zé)人 被評估組織的安全主管 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.5.3 工作方式 1. 技術(shù)技術(shù)控制措施的識(shí)別與控制措施的識(shí)別與確認(rèn)確認(rèn) 2. 管理和操作控制措施的識(shí)別與管理和操作控制措施的識(shí)別與確認(rèn)確認(rèn) 3. 分析與分析與統(tǒng)計(jì)統(tǒng)計(jì) 5.5.4 工具及資料 5.5.5 輸出結(jié)果 5.5 已有安全措施確認(rèn) 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.6 風(fēng)險(xiǎn)分析 5.6.1 風(fēng)險(xiǎn)計(jì)算原理 1. 計(jì)算安全事件發(fā)生的計(jì)算安全事件發(fā)生的可能性可能性 安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性) = L(T, V) 2. 計(jì)算安全事件發(fā)生后造成的計(jì)算安全事件發(fā)生后造成的。

11、損失損失 安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度) = F(Ia, Va) 3. 計(jì)算風(fēng)險(xiǎn)值計(jì)算風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)值= R(安全事件的可能性，安全事件造成的損失) = R(L(T, V), F(Ia, Va) (1)風(fēng)險(xiǎn)計(jì)算：相乘法 (2)風(fēng)險(xiǎn)計(jì)算：矩陣法 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.7 風(fēng)險(xiǎn)處理計(jì)劃 圖5-2 風(fēng)險(xiǎn)管理方法圖 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.7.1 現(xiàn)存風(fēng)險(xiǎn)判斷 5.7.2 控制目標(biāo)確定 5.7.3 控制措施選擇 1. 接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn) 2. 避免避免風(fēng)險(xiǎn)風(fēng)險(xiǎn) 3. 轉(zhuǎn)移轉(zhuǎn)移風(fēng)險(xiǎn)風(fēng)險(xiǎn) 4. 降低降低風(fēng)險(xiǎn)風(fēng)險(xiǎn) 5. 處置殘留風(fēng)險(xiǎn)處置殘留風(fēng)。

12、險(xiǎn) 5.7 風(fēng)險(xiǎn)處理計(jì)劃 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 5.8 風(fēng)險(xiǎn)評估報(bào)告 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 封皮封皮XXXX信息安全風(fēng)險(xiǎn)評估報(bào)告信息安全風(fēng)險(xiǎn)評估報(bào)告 被評估的系統(tǒng)： 被評估單位： 評估類別： 負(fù)責(zé)人： 評估時(shí)間： 目錄目錄 第一章第一章綜述 介紹評估準(zhǔn)備的相關(guān)內(nèi)容。介紹評估準(zhǔn)備的相關(guān)內(nèi)容。 第第2章章識(shí)別并評價(jià)資產(chǎn) 介紹資產(chǎn)的識(shí)別和評價(jià)結(jié)果。介紹資產(chǎn)的識(shí)別和評價(jià)結(jié)果。 第第3章章識(shí)別并評估威脅 介紹威脅的識(shí)別和評價(jià)結(jié)果。介紹威脅的識(shí)別和評價(jià)結(jié)果。 第第4章章識(shí)別并評估脆弱性 介紹脆弱性的識(shí)別和評價(jià)結(jié)果。介紹脆弱性的識(shí)別和評價(jià)結(jié)果。 第第5章章識(shí)別安全。

13、措施 介紹已有安全措施的識(shí)別和分析結(jié)果。介紹已有安全措施的識(shí)別和分析結(jié)果。 第第6章章分析可能性和影響 介紹可能性和影響的分析結(jié)果。介紹可能性和影響的分析結(jié)果。 第第7章章風(fēng)險(xiǎn)計(jì)算 介紹風(fēng)險(xiǎn)的計(jì)算結(jié)果。介紹風(fēng)險(xiǎn)的計(jì)算結(jié)果。 第第8章章風(fēng)險(xiǎn)控制 介紹需控制的風(fēng)險(xiǎn)及控制措施。介紹需控制的風(fēng)險(xiǎn)及控制措施。 第第9章章總結(jié) 對本次評估進(jìn)行總結(jié)。對本次評估進(jìn)行總結(jié)。 信 息 安 全 管 理 與 風(fēng) 險(xiǎn) 評 估 思考題思考題 簡單敘述“風(fēng)險(xiǎn)評估準(zhǔn)備”階段的主要工作內(nèi)容。 簡單敘述“資產(chǎn)識(shí)別”的工作內(nèi)容和工作方式。 簡單敘述“威脅識(shí)別”的工作內(nèi)容和參與人員。 敘述“針對潛在威脅的識(shí)別活動(dòng)”的主要內(nèi)容。 如何構(gòu)建威脅場景？ 簡單敘述“脆弱性識(shí)別”的工作方式。 敘述“風(fēng)險(xiǎn)計(jì)算原理”。。

總結(jié)

以上是生活随笔為你收集整理的计算机风险评估管理程序,第5章 信息安全风险评估实施流程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。