文档介绍:第11章信息安全风险管理与评估
第11章信息安全风险管理与评估
风险管理概述
无论是政府还是企业,对于自身的信息安全都非常重视。在这个数字化的时代,当某个组织或企业为了更好地支持其业务而使用自动化信息技术系统处理其信息时,风险管理就在保护该机构的信息资产,或者说其任务远离和IT相关的风险中扮演着关键的角色。
第11章信息安全风险管理与评估
有效的风险管理过程是一个成功的IT安全规划中的重要组成部分。一个组织的风险管理过程中,最关键的目标应该是保护组织以及组织完成其任务的能力,而不仅仅是其IT资产。而应该是组织的一项实质管理行为。
第11章信息安全风险管理与评估
风险管理概述
风险是对系统弱点进行利用后产生的负面的影响,包括这种影响的可能性和已经发生的影响。风险管理是识别风险、评估风险以及采取步骤降低风险到可接受范围内过程。
风险是指在某个特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。
第11章信息安全风险管理与评估
风险管理的过程
风险管理在项目管理中有非常重要的地位,具体来说其重要性表现在以下几个方面:
(1)有效的风险管理可以提高项目的成功率。
(2)提高对风险制定对策,就可以在风险发生时迅速作出反应,避免忙中出错,造成更大的损失。
(3)风险管理可以增加团队的健壮性
(4)有效的风险管理可以帮助项目经理抓住工作重点
第11章信息安全风险管理与评估
风险识别
风险识别过程的活动是将不确定性转变为明确的风险概述。包括以下几个方面:
(1)进行风险评估。
(2)系统地识别风险
(3)将已知编写为文档。
(4)交流已知风险
第11章信息安全风险管理与评估
风险分析
风险分析过程的活动是将风险陈述转变为按优先顺序排列为风险的列表。
(1)确定风险的驱动因素
(2)分析风险来源
(3)预测风险影响
(4)对风险按照风险影响进行优先排序,优先级特别高的风险优先处理
第11章信息安全风险管理与评估
风险计划
风险计划过程活动是将按优先级排列的风险列表转变为风险应对计划。
(1)制定风险应对策略。风险应对策略有接受、避免、保护、减少、研究、储备和转移几种方式。
(2)制定风险行动步骤。风险行动步骤详细说明了所选择的风险应对途径
第11章信息安全风险管理与评估
风险跟踪
风险跟踪过程包括的活动包括监视风险状态以及发出通知启动风险应对行动,包括以下内容:
(1)比较阈值和状态通过项目控制面板获取。
(2)对启动风险进行及时通告
(3)定期通报风险的情况
第11章信息安全风险管理与评估
风险应对
风险应对过程的活动是执行风险行动计划,以求将风险降至可接受程度,包括内容:
(1)对触发事件的通知作出反应
(2)执行风险行动计划
(3)对照计划,报告进展
(4)校正偏离计划的情况