V1.0 1
机密
此
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
仅供客户内部使用。未经诺恒管理公司的书面许可,其它任何机
构不得擅自传阅、引用或复制。
此培训
资料
新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单
仅供客户内部使用。未经诺恒管理的书面许可,其它任何机
构不得擅自传阅、引用或复制。
ISO27001认证咨询项目
信息安全风险评估与管理
二○一一年五月
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 2
培训内容
风险评估与管理相关概念
风险评估的基本程序与方法
风险管理的基本程序
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 3
什么是信息安全风险?
信息安全风险即指:
威胁利用脆弱性造成某一信息资产或某一组信息资
产丢失或损坏的可能性
这样的风险可能波及整个组织
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 4
什么是风险?
资产
威胁
脆弱性
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 5
什么是信息安全风险?
手提电脑
体积小、轻
公共场所偷盗
资产丢失
风险
有价值的
资产
资产本身的
脆弱性
存在的威胁
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 6
资产
资产 — 任何对组织有价值的东西
办公室设备
人
软件
哪些是资产?请大家思考并举例
电子信息
纸面文档
硬件设备
软件
服务
人
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 7
威胁
导致发生某一非期望事件的可能性,此类事件的发生可能
对某一系统或组织造成损害
自然的威胁
人为的威胁
意外产生的威胁
请思考并举例说明自然\人为\意外的威胁
地震、雷电、暴雨、偷盗、故意破坏、火灾 、操作失误、设备故障
非法使用软件
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 8
脆弱性
某一项或一组资产的弱点、薄弱性,并容易被威胁
所利用
脆弱性本身不会引起损害,只是一种条件或一组条
件,在这些条件下,被威胁利用后对组织资产造成
损害
请大家思考,纸面文件有哪些脆弱性可能因为威胁
而对资产产生损害?
轻 ——偷盗 吸水性好—— 潮湿天气 易燃烧—火灾
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 9
风险评估的含义
Y轴:
威胁程度
Z轴:
资产价值
X轴:
薄弱环节
所谓风险评估?
资产价值 X 威胁程度 X 脆弱性大小
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 10
风险管理的含义
以合理的成本、采取合理的安全控制措施将风险控制
在可以接受的水平内,达成控制措施与风险之间的平衡。
降低威胁程度: --
如: 建立确保人员可
信任的控制措施及
机制
补强脆弱性: --
如: 系统补丁
减少资产价值
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 11
风险评估基本程序
根据业界最佳实践指南,详细的风险评估主要包括以下活动:
信息资产分类及识别
重要性评估 威胁评估 脆弱性评估 现有措施
风险评估
选择控制措施
识别评审各种制约
情况
接受风险
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 12
资产分类
业务过程
信息
人
服务
ICT
厂房
应用系统
资产分类
资产分类
公司形象
人员
信息/信息系统
过程
产品/服务
应用
ICT
厂房
资产清单
V1.0 13
各个支撑系统资产描述
诺恒管理
针对所识别的各个系统类别,应详细描述以下信息
数据 存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
、报告、用户
手册
华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载
等
软件
系统软件:操作系统、语言包、工具软件、各种库等
应用软件:外部购买的应用软件,外包开发的应用软件等
源程序:各种共享源代码、可执行程序、自行或合作开发的各种程序等
硬件
网络设备:路由器、网关、交换机等
计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列等
移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等
传输线路:光纤、双绞线等
保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、
消防设施等
安全保障设备:防火墙、入侵检测系统、身份验证等
其他电子设备:打印机、复印机、扫描仪、传真机等
服务
办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管
理、文件流转管理等服务
网络服务:各种网络设备、设施提供的网络连接服务
分包服务: 由外部电脑为提供的服务
文档 纸质的各种文件、传真、电报、财务报告、发展计划等
人员 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 14
国家信息安全风险评估
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
指南赋值方法
诺恒管理
赋值 标识 定义
5 极高 包含组织最重要的秘密,关系未来发展的前途命运,对
组织根本利益有着决定性影响,如果泄漏会造成灾难性
的损害
4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭
受严重损害
3 中等 包含组织的一般性秘密,其泄露会使组织的安全和利益
受到损害
2 低 包含仅能在组织内部或在组织某一部门内部公开的信
息,向外扩散有可能对组织的利益造成损害
1 可忽略 包含可对社会公开的信息,公用的信息处理设备和系统
资源等
资产保密性赋值
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 15
国家信息安全风险评估标准指南赋值方法
诺恒管理
赋值 标识 定义
5 极高 完整性价值非常关键,未经授权的修改或破坏会对组织造
成重大的或无法接受的影响,对业务冲击重大,并可能造
成严重的业务中断,难以弥补
4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重
大影响,对业务冲击严重,比较难以弥补
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影
响,对业务冲击明显,但可以弥补
2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻
微影响,可以忍受,对业务冲击轻微,容易弥补
1 可忽略 完整性价值非常低,未经授权的修改或破坏对组织造成的
影响可以忽略,对业务冲击可以忽略
资产完整性赋值
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 16
国家信息安全风险评估标准指南赋值方法
诺恒管理
资产可用性赋值
赋值 标识 定义
5 极高 可用性价值非常高,合法使用者对信息及信息系统的可用
度达到年度99.9%以上
4 高 可用性价值较高,合法使用者对信息及信息系统的可用度
达到每天90%以上
3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度
在正常工作时间达到70%以上
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度
在正常工作时间达到25%以上
1 可忽略 可用性价值可以忽略,合法使用者对信息及信息系统的可
用度在正常工作时间低于25%
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 17
威胁识别
威胁是来自外界的,针对不同资产,威胁可能不同:
根据公司环境、ISO27001标准要求,针对信息资产,识别威胁
建立威胁脆弱性矩阵表
可参考ISO/TR13335-3标准的参考威胁列表
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 18
通常识别威胁的方法
针对所评价的资产,从以下几个方面考虑:
自然的威胁
人为的威胁
意外事件
洪水、台风、灰尘
破坏电缆、偷盗
爆炸、停电
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 19
威胁举例
与物理安全有关的威胁
•爆炸、洪水、暴雨、地震、环境污染、雷电、火灾
•偷盗、人为破坏
与计算机及网络管理有关
•空调系统故障、通信干扰、设备维护出错、信息传递错误
•非授权访问、误用资源、操作人员操作错误、停电
与法律法规符合性有关
•使用非法软件、提供非法软件、非授权使用网络设施
•窃听、公开个人隐私记录
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 20
脆弱性
脆弱性存在于:
物理环境
组织与人员
程序
内部管理
硬件、软件或通信设备
脆弱性存只有在被威胁利用后才能造成风险,脆弱性本身并不是风险
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 21
脆弱性识别方法
针对所评价的资产以及所识别的威胁,考虑:
资产本身的薄弱环节(会被哪些威胁利用)
可根据ISO27001控制措施来推断相关的薄弱环节
根据威胁来推断薄弱环节(可能利用哪些薄弱环节)
参考已有的威胁脆弱性矩阵数据库
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 22
脆弱性举例
环境与基础设施的脆弱性
•建筑物物理环境未保护、区域位置易被水淹、办公区域进出未控制
硬件设备
•设备对电压敏感、缺乏定期的设备更新计划、设备对温度变化敏感
电脑与网络管理
• 缺乏文件化管理要求
•访问权限分配错误
•与公共网络的连接未受保护
•错误分配访问权限
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 23
威胁与脆弱性对照举例
诺恒管理
威胁 -- 火灾,可利用的脆弱性:
建筑物物理环境未进行保护、设备对温度变化敏感
威胁 -- 无意暴露敏感信息,可利用的脆弱性:
媒介报废未控制、敏感信息未分级、未对分包方明确安全要求
威胁 -- 篡改数据,可利用的脆弱性:
错误分类访问权限、网络管理不充分、与公共网络的连接未进
行控制
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 24
现有控制措施识别
针对资产、识别的威胁和脆弱性,检查
是否已经采取降低威胁的控制措施?(雷电 –避雷设施)
是否已经采取加强脆弱性薄弱环节的控制措施
是否已经采取减少资产价值的控制措施
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 25
通常在识别控制措施时应考虑:
是否是针对威胁的?
还是针对脆弱性的?
或是针对资产本身的?
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 26
风险大小计算方法方法
风险大小可通过以下公式计算:
发生可能性 X 资产重要性程度 = 风险影响程度
风险的计算公式有多种,没有一个统一的标准。
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 27
风险评价方法 – 评价风险发生可能性
风险发生的可能性(L) 评分
完全可能发生 5
相当可能 4
可能,但不经常 3
可能性小,完全意外 2
很不可能,但可以设想 1
评价风险发生可能性时,应考虑目前已经采取的控制措施
针对所描述的风险,评价发生风险的可能性:
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 28
风险级别
按照风险大小计算方法,对风险确定级别:
风险级别(R) 分值
低 20以下
中低 20 – 40
中 40 – 60
中高 60 – 80
高 80 - 100
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 29
风险处理优先排序
风险排序的目的:
通过风险排序,全面了解公司所面临各类的风险的大小
根据事先设订的风险优先排序准则,确定是否考虑控制措施
时代伟邦管理咨询
TIMEWINBOND.COM
V1.0 30
风险管理的基本程序
诺恒管理
识别控制
措施
确定
控制措施
风险评估
执行控制
措施
风险管理
风险定期
评估