【正文】 34 方法 優(yōu)點 缺點 定量 直觀的數(shù)據(jù)來表述評估的結(jié)果，看起來比較客觀 研究結(jié)果更科學，更嚴密 隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗，其精確度將隨時間的推移而提高 難以確定準確的方法來有效計算資產(chǎn)和控制措施的價值 取得風險一致意見的過程非常耗時。 ?單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作。 ? 對于只處理內(nèi)部業(yè)務的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊。 當了 CIO，時刻擔心系統(tǒng)出事，無法預見可能會出什么事 沒有殘余風險清單，在什么條件可被觸發(fā)，如何做好控制 12 好的 風險管理過程可以讓機構(gòu)以最具有成本效益的方式運行，并且使已知的風險維持在可接受的水平 什么是信息安全風險 ?信息安全風險就是指在信息系統(tǒng)中，信息安全事件的概率及其結(jié)果的 組合 ?《 信息安全風險管理指南 》 （ GB/Z 243642023） ? 信息 安全風險是指“人為或自然的 威脅 利用信息系統(tǒng)及其管理體系中存在的 脆弱性 導致安全事件的發(fā)生及其對組織造成的 影響 ” 13 資產(chǎn) 威脅 防護措施 脆弱性 風險 利用 對抗 導致 增加 減少 作用于 安全風險的基本概念 —— 資產(chǎn) ?資產(chǎn) ? 資產(chǎn)是任何對組織有價值的東西 ? 信息也是一種資產(chǎn)，對組織具有價值 ?資產(chǎn)的分類 ? 電 子信息資產(chǎn) ? 紙 介資產(chǎn) ? 軟 件資產(chǎn) ? 物 理資產(chǎn) ? 人 員 ? 服 務性資產(chǎn) ? 公 司形象和名譽 ? …… 14 安全風險的基本概念 —— 威脅 ?威脅 ? 資威脅是可能導致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件 ? 威脅是利用脆弱性來造成后果 ?威脅舉例 ? 黑客入侵和攻擊 病毒和其他惡意程序 ? 軟硬件故障 人為誤操作 ? 盜竊 網(wǎng)絡監(jiān)聽 ? 供電故障 設置后門 ? 未授權(quán)訪問 …… 自然災害如：地震、火災 15 安全風險的基本概念 —— 脆弱性 ?脆弱性 ? 是與信息資產(chǎn)有關(guān)的弱點或安全 隱患 ? 脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成 危害 ?脆弱性舉例 ? 系統(tǒng)漏洞 程序 Bug ? 專業(yè)人員缺乏 不良習慣 ? 缺少審計 缺乏安全意識 ? 系統(tǒng)后門 ? 物理環(huán)境訪問控制措施不當 …… 16 安全風險要素之間的相互 關(guān)系 17 所 有 者脆 弱 性控 制 措 施威 脅 主 體威 脅 資 產(chǎn)風 險使 命希 望 完 成價 值希 望 最 小 化利 用可 能 被 減 少減 少施 加 于可 能 意 識 到引 起濫 用 或 破 壞阻 礙 或 破 壞利 用增 加到導 致到到為什么要做風險管理 ?定義 ? 信息 安全風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的 過程 ?目的 ? 成本與效益平衡 ? 好的風險管理過程可以讓機構(gòu) 以最具有成本效益的方式運行，并且使已知的風險維持在可接受的水 平 ? 工 作條理化 ? 好的風險管理過程 可以 使 機構(gòu) 用一致的、條理清晰的方式來組織有限的資源，更好地管理風險 18 信息安全風險管理的內(nèi)容 ? 四個階段，兩個貫穿。安全策略 、目標和活動 應該反映業(yè)務目標 ?實施符合單位文化的信息安全方案 ?確保管理層的實質(zhì)支持和承諾 ?理解信息安全要求和風險管理概念 ?加強信息安全管理作用和意義的 宣傳 ?提供信息安全培訓和教育 ?制定信息安全事件管理過程 ?建立信息安全測量 體系 ,評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進 10 知識 體 ：信息安全管理基礎 ?知識 域：信息安全風險管理 ? 理解 信息安全風險的含義，理解威脅、脆弱性、影響和風險等要素含義及相互關(guān)系 ? 掌握 信息安全風險管理的主要內(nèi)容和流程 ? 理解 風險評估的作用、工作形式和評估方法 11 信息安全工 作中的風險管理 常見問題 問題根源淺析 安全投資逐年增加，但看不到收益 沒有根據(jù)風險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導致有限資金的有效利用率低 按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn) 沒有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風險。摘要 變化？ 關(guān)鍵活動 測量 擁有者 資 源 記錄 標 準 輸入 輸出 生 產(chǎn) 經(jīng) 營 過程 目標 信息安全“技管并重”的原則 ?信息安全的成敗取決于兩個因素：技術(shù)和 管理 ?安 全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和 催化劑 ?信息安全管理是預防、阻止或減少信息安全事件發(fā)生的重要保障 ?對于 信息安全，到底是技術(shù)更重要，還是管理更重要？ “堅持管理與技術(shù)并重”是我國 加強信息安全保障工作的主要原則 8 ?技術(shù)和產(chǎn)品是基礎，管理才是關(guān)鍵 。信息輸入 信息 安全管理 基礎 中國信息安全測評中心 20230819 1 課程內(nèi)容 2 信息 安全管理 基礎 信息 安全管理概念 信息安全等級保護 信息 安全風險管理 信息 安全應急響應 信息 安全災難恢復 知識 體 ：信息安全管理基礎 ?知識 域：信息 安全管理概念 ? 了解 信息安全管理的概念和內(nèi)涵 ? 理解 信息安全管理和信息安全技術(shù)的關(guān)系 3 信息安全事件分析 ? 統(tǒng)計結(jié)果表明，在所有信息安全事故中，只有 20%~30%是由于黑客入侵或其他外部原因造成的， 70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡安全的全貌就會發(fā)現(xiàn)安全問題實際上都是人的問題，單憑技術(shù)是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變 的 ? 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要 4 信息安全管理的需求 5 ?如果你把鑰匙落在鎖眼上會怎樣？ ?技術(shù)措施需要配合正確的使用才能發(fā)揮作用 保險柜就一定安全嗎 ？ 6 防 火 墻內(nèi) 網(wǎng) 主 機服 務 器Web服 務 器Inter防 火 墻精心設計的網(wǎng)絡防御體系，因違規(guī)外連形同虛設 防火墻能解決這樣的問題嗎？ 信息安全管理的需求 管理與信息安全管理 ?管理 ? 管理 者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列 活動 ?信息安全管理 ? 組 織中為了完成 信息安全目標 ，遵 循 安全策略 ，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的 規(guī)劃 、組織、指導、協(xié)調(diào)和控制 等活動 7 規(guī)則 項 目 辦 公 室項 目 經(jīng) 理項 目 專 家 組實 施 小 組 協(xié) 調(diào) 小 組國 稅 總 局 測 評 中 心 福 建 地 稅項 目 領 導 組國 稅 總 局 福 建 地 稅變 更 控 制 委 員 會組織 人員 立法 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用 ?適宜的、易于理解、方便操作的 安全策略對信息安全至關(guān)重要 ?安全技術(shù)是信息安全控制的重要手段，許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來實現(xiàn)，但要讓安全技術(shù)發(fā)揮應有的作用，必然要有適當管理程序的支持，否則，安全技術(shù)只能趨于僵化和 失敗 ?根本上 說，信息安全是個管理過程，而不是技術(shù)過程 信息安全管理的作用 9 實施信息安全管理的關(guān)鍵成功因素 ?制定符合業(yè)務目標的信息 安全策略。 IT安全需求很多，有限的資金應優(yōu)先撥向哪個領域 決策者沒有看到安全投資收益報告，資金劃撥無參考依據(jù)。 19 背景建立風險