文档介绍：信息安全风险评估与风险管理
国家信息中心信息安全服务与研究中心
二00四年九月
.
汇报内容
一、前言
二、信息安全风险管理概述
三、信息安全风险管理各组成部分
四、信息安全风险管理的运用
五、结束语
.
2004-1-112
15
三、信息安全风险管理各组成部分
1、对象确立
2、风险评估
3、风险控制
4、审核批准
5、沟通与咨询
6、监控与审查
.
2004-1-12
16
对象确立概述
对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。
.
2004-1-12
17
对象确立过程
.
2004-1-12
18
风险管理准备
.
2004-1-12
19
信息系统调查
.
2004-1-12
20
信息系统分析
.
2004-1-12
21
信息安全分析
.
2004-1-12
22
对象确立的文档
阶段
输出文档
文档内容
风险管理准备
《风险管理计划书》
风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
信息系统调查
《信息系统的描述报告》
信息系统的业务目标、业务特性、管理特性和技术特性等。
信息系统分析
《信息系统的分析报告》
信息系统的体系结构和关键要素等。
信息安全分析
《信息系统的安全要求报告》
信息系统的安全环境和安全要求等。
.
2004-1-12
23
三、信息安全风险管理各组成部分
1、对象确立
2、风险评估
3、风险控制
4、审核批准
5、沟通与咨询
6、监控与审查
.
2004-1-12
24
风险评估概述
风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。
.
2004-1-12
25
风险评估过程
.
2004-1-12
26
风险评估准备
.
2004-1-12
27
风险因素识别
.
2004-1-12
28
风险程度分析
.
2004-1-12
29
风险等级评价
.
2004-1-12
30
风险评估的文档
阶段
输出文档
文档内容
风险评估准备
《风险评估计划书》
风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
《风险评估程序》
风险评估的工作流程、输入数据和输出结果等。
《入选风险评估方法和工具列表》
合适的风险评估方法和工具列表。
风险因素识别
《需要保护的资产清单》
对机构使命具有关键和重要作用的需要保护的资产清单。
《面临的威胁列表》
机构的信息资产面临的威胁列表。
《存在的脆弱性列表》
机构的信息资产存在的脆弱性列表。
.
2004-1-12
31
风险评估的文档
风险程度分析
《已有安全措施分析报告》
确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。
《威胁源分析报告》
从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。
《威胁行为分析报告》
从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。
《脆弱性分析报告》
按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。
《资产价值分析报告》
从敏感性、关键性和昂贵性等方面，分析资产价值的大小。
《影响程度分析报告》
从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。
.
2004-1-12
32
风险评估的文档
风险等级评价
《威胁源等级列表》
威胁源动机的等级列表。
《威胁行为等级列表》
威胁行为能力的等级列表。
《脆弱性等级列表》
脆弱性被利用的等级列表。
《资产价值等级列表》
资产价值的等级列表。
《影响程度等级列表》
影响程度的等级列表。
《风险评估报告》
汇总上述分析报告和等级列表，综合评价风险的等级。
.
2004-1-12
33
三、信息安全风险管理各组成部分
1、对象确立
2、风险评估
3、风险控制
4、审核批准
5、沟通与咨询
6、监控与审查
.
2004-1-12
34
风险控制概述
风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。
.