【正文】 169。 2023 56 All rights reserved 169。 2023 風(fēng)險控制要點 風(fēng)險是一個變數(shù) ! ? 要定期進行風(fēng)險評估 ? 在以下情況進行臨時評估 ? 當(dāng)組織新增信息資產(chǎn)時 ? 當(dāng)系統(tǒng)發(fā)生重大變更時 ? 發(fā)生嚴(yán)重信息安全事故時 57 All rights reserved 169。 2023 一、風(fēng)險評估中的概念及模型 二、風(fēng)險評估標(biāo)準(zhǔn) 三、風(fēng)險評估流程與方法 四、風(fēng)險評估的輸出結(jié)果 五、風(fēng)險管理 六、總結(jié) 目錄 58 All rights reserved 169。 2023 風(fēng)險評估的輸出結(jié)果 資產(chǎn)識別 資產(chǎn)識別表 資產(chǎn)賦值 威脅分析 資產(chǎn)威脅表 重要資產(chǎn)賦值表 脆弱性分析 理計劃表 影響、可能性分析 風(fēng)險計算及評估結(jié)果 脆弱性匯總表 風(fēng)險評估報告 59 All rights reserved 169。 2023 反映了： ? 資產(chǎn)名稱 ? 描述范圍 ? 重要性程度 ? 部門 ? 所屬業(yè)務(wù)流程 4. 1 資產(chǎn)識別表 風(fēng)險評估的輸出結(jié)果 —— 資產(chǎn)識別表 60 All rights reserved 169。 2023 反映了： ? 資產(chǎn)名稱 ? 描述范圍 ? 機密性、可用性、完整性評分等級 ? 資產(chǎn)與信息安全系數(shù)關(guān)系 ? 所屬業(yè)務(wù)流程 重要資產(chǎn)賦值表 風(fēng)險評估的輸出結(jié)果 —— 重要資產(chǎn)列表 61 All rights reserved 169。 2023 反映了： ? 資產(chǎn)名稱 ? 面臨的威脅類 ? 具體可能的威脅 資產(chǎn)威脅表 風(fēng)險評估的輸出結(jié)果 —— 威脅列表 62 All rights reserved 169。 2023 反映了： ? 脆弱性分類（網(wǎng)絡(luò)、操作系統(tǒng)、管理、數(shù)據(jù)庫等） ? 脆弱性的詳細(xì)描述 ? 脆弱性的嚴(yán)重程度 ? 與威脅的對應(yīng)關(guān)系 ? 可能影響的資產(chǎn) 脆弱性匯總表 風(fēng)險評估的輸出結(jié)果 —— 脆弱性識別表 63 All rights reserved 169。 2023 反映了： ? 資產(chǎn)名稱 ? 資產(chǎn)面臨的威脅 ? 可能被威脅利用的脆弱電 ? 威脅發(fā)生的可能性 ? 威脅的影響程度 風(fēng)險評估的輸出結(jié)果 —— 資產(chǎn)風(fēng)險表 64 All rights reserved 169。 2023 反映了： ? 資產(chǎn)名稱 ? 威脅 /薄弱點 ? 風(fēng)險系數(shù) ? 風(fēng)險處理措施 ? 優(yōu)先處理等級，等。 風(fēng)險評估的輸出結(jié)果 —— 風(fēng)險處理計劃 65 All rights reserved 169。 2023 風(fēng)險評估報告 ? 評估方法 ? 信息系統(tǒng)分析與描述 ? 業(yè)務(wù)信息流分析 ? 資產(chǎn)識別與劃分 ? 威脅分析 ? 安全風(fēng)險分析與統(tǒng)計 信息系統(tǒng)脆弱性評估報告：以資產(chǎn)為主線，描述各資產(chǎn)存在的脆弱性，包括： ? 主要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng) ? 應(yīng)用系統(tǒng) ? 網(wǎng)絡(luò)與交換設(shè)備 ? 安全管理體系 ? 物理環(huán)境 風(fēng)險評估報告 風(fēng)險評估的輸出結(jié)果 —— 風(fēng)險評估報告 66 All rights reserved 169。 2023 一、風(fēng)險評估中的概念及模型 二、風(fēng)險評估標(biāo)準(zhǔn) 三、風(fēng)險評估流程與方法 四、風(fēng)險評估的輸出結(jié)果 五、風(fēng)險管理 六、總結(jié) 目錄 67 All rights reserved 169。 2023 風(fēng)險管理的目的和意義 信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作。 信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面 信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程。 信息安全風(fēng)險管理依據(jù)等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機構(gòu)具有完成其使命的信息安全保障能力 。 68 All rights reserved 169。 2023 風(fēng)險管理的對象與范圍 信息自身：各類以電子形式或紙面文檔方式表示的數(shù)據(jù)材料。 信息載體：支持信息處理的網(wǎng)絡(luò)平臺、通信平臺、系統(tǒng)平臺、應(yīng)用軟件等。 信息環(huán)境：支持系統(tǒng)運行的環(huán)境。包括環(huán)境設(shè)施、運行與維護、管理體系等內(nèi)容。 69 All rights reserved 169。 2023 風(fēng)險控制措施確定 組織根據(jù)風(fēng)險評估的結(jié)果，確定不可接受風(fēng)險的范圍，制定風(fēng)險處理計劃，增加控制措施，從而降低風(fēng)險。 安全控制的識別和選擇： 依據(jù) 風(fēng)險評估的結(jié)果 原則 費用與風(fēng)險平衡 構(gòu)成 技術(shù)控制措施或管理控制措施 確定風(fēng)險的等級和組織的可接受水平： 70 All rights reserved 169。 2023 實施風(fēng)險控制 風(fēng)險降低示意圖 威 脅 發(fā) 生 可 能 性 威脅的潛在影響 (后果 ) R— 風(fēng)險 R1 R3 R2 高 中 低 低 中 高 71 All rights reserved 169。 2023 風(fēng)險確認(rèn)與接受 為確保組織的信息安全，殘余風(fēng)險應(yīng)在可接受范圍內(nèi) 殘余風(fēng)險 R(r)=原有風(fēng)險 R(0)控制 ?R 殘余風(fēng)險 R（ r） =可接受風(fēng)險 R(t) 安全控制 實施 風(fēng)險確認(rèn) 接受 不接受 增加控制 72 All rights reserved 169。 2023 一、風(fēng)險評估中的概念及模型 二、風(fēng)險評估標(biāo)準(zhǔn) 三、風(fēng)險評估流程與方法 四、風(fēng)險評估的輸出結(jié)果 五、風(fēng)險管理 六、總結(jié) 目錄 73 All rights reserved 169。 2023 識別本單位信息安全的風(fēng)險狀況 ? 重要的資產(chǎn) ? 面臨的威脅 ? 現(xiàn)有的安全措施和薄弱點 ? 可能的風(fēng)險 制定適合于本單位的風(fēng)險評估程序 ? 評估流程 ? 評估管理制度，角色和責(zé)任 ? 資產(chǎn)重要性、后果與影響、威脅可能性的判據(jù) ? 薄弱點的識別方法 建立風(fēng)險控制措施或安全需求 ? 根據(jù)評估結(jié)果，制定風(fēng)險處理計劃 ? 根據(jù)實際要求，制定本單位的安全需求或安全規(guī)劃 此次各試點單位風(fēng)險評估的成果 74 All rights reserved 169。 2023 謝謝 Question？ 75 All rights reserved 169。 2023 演講完畢，謝謝觀看！