企业安全风险评估培训课件知识

* ppt模板 说课ppt模板下载感恩节ppt模板下载论文ppt模板下载教师节ppt模板下载岗位竞聘ppt模板免费下载 下载：www.1ppt.com/moban/行业PPT模板：www.1ppt.com/hangye/节日PPT模板：www.1ppt.com/jieri/PPT素材下载：www.1ppt.com/sucai/PPT背景图片：www.1ppt.com/beijing/PPT图表下载：www.1ppt.com/tubiao/优秀PPT下载：www.1ppt.com/xiazai/PPT教程：www.1ppt.com/powerpoint/Word教程：www.1ppt.com/word/Excel教程：www.1ppt.com/excel/资料下载：www.1ppt.com/ziliao/PPT课件下载：www.1ppt.com/kejian/范文下载：www.1ppt.com/fanwen/试卷下载：www.1ppt.com/shiti/ 教案 中职数学基础模块教案 下载北师大版¥1.2次方程的根与系数的关系的教案关于坚持的教案初中数学教案下载电子教案下载 下载：www.1ppt.com/jiaoan/安全风险评估培训Inspurgroup安全风险评估培训*今日议 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 安全风险评估介绍 信息安全介绍 工作环节 评估的模式安全风险评估流程安全风险评估工具介绍安全风险评估工具*什么是风险？ 风险Risk对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。----AS/NZS4360:1999《风险管理》*信息安全定义 信息安全的三个方面(ISO27001/BS7799) 机密性（Confidentiality） 完整性（Integrity） 可用性（Availability） *信息安全的典型特性 潜在性 相对性 层次性 分布性 。。。。。。*“安全”（security）的独特内涵 “防范潜在的危机”* 性能 容易量化 可以评价为：低、较低、较高、高…… 看得见安全很难量化只有两个结果“出事”和“不出事”容易被忽视“安全”与“性能”的对比* “防范潜在的危机”安全没有100% 安全只能将风险降到最低 只有相对的安全，没有绝对的安全信息安全的相对性* 资产保护风险管理的核心理念*1-项目准备与范围确定项目 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 项目组织结构项目工作环境Kickoff需求调研，背景讨论2-项目定义和蓝图完成详细方案设计定义项目目标 培训定义详细项目范围定义报告格式完成蓝图并与用户签署3-评估安全评估（本地，远程）本地评估安全信息库开发4-综合报告和解决方案数据导入信息库和整理综合评估报告综合解决方案安全策略建议5-评审支持和维护修复和加固协助电话热线支持安全评估项目中的阶段*需求调研项目蓝图安全解决方案综合评估报告综合解决方案策略建议项目阶段和提交文档*项目成果－交付件结构IDS申请报告ISS申请报告IDS实施方案ISS实施方案IDS分析报告ISS分析报告远程评估人工评估申请报告白客测试申请报告人工评估实施方案白客测试实施方案人工评估报告白客测试分析报告顾问访谈备忘录安全问卷调查报告网络架构评估报告业务流程评估报告策略文档评估报告策略文档评估报告总结本地评估申请方案中间报告评估阶段安全风险评估报告网络安全策略评估和改进建议网络安全解决方案方案阶段* 第一阶段：项目准备阶段 ×××公司安全风险评估方案建议（SOW文档） 第二阶段：蓝图阶段 蓝图系列文档 第三阶段：安全风险评估阶段 ×××公司系统综合风险分析报告项目阶段主要成果及标志（1）* 第四阶段：综合评估和策略阶段 ×××公司系统网络安全现状 ×××公司系统安全策略建议 ×××公司系统安全解决方案 第五阶段：项目评审 项目验收报告项目阶段主要成果及标志（2）*风险评估的模式 精简型风险评估 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 型评估 大型评估 *今日议题 安全风险评估介绍 信息安全介绍 工作环节 评估的模式安全风险评估流程安全风险评估工具介绍安全风险评估工具* 信息资产界定 安全弱点和威胁的评估 风险量化和计算 安全评估报告 安全解决方案 评估流程图安全风险评估流程*信息资产分类列表* 资产组 主机（硬件，OS，应用软件，服务，数据） 网络（硬件，IOS，配置文件，网络服务） 数据库（数据库软件，数据等） 总体资产组（每个业务为一个资产组） 独立资产 服务（主要业务服务和业务流程等） 数据（重要的数据） 人员（各类人员，安全组织和人员）本项目应用的分类标准*机密性、完整性和可用性的价值分别赋值实际的赋值过程中，将以用户为主信息资产赋值*保密性：确保只有经过授权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用资产价值计算：AssetValue=Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]}A代表机密性的权值；B代表完整性的权值；C代表可用性的权值电信运营商（最关注可用性）：A=0.7，B=0.7，C＝1.6；金融行业（最关注完整性）：A=0.7，B=1.6，C＝0.7；政府涉密部门（最关注机密性）：A=1.6，B=0.7，C＝0.7；* 信息资产界定 安全弱点和威胁的评估 风险量化和计算 安全评估报告 安全解决方案风险评估流程*弱点和资产紧密相连，它可能被威胁利用、引起资产损失或破坏。弱点(脆弱性)赋值安全弱点的评估*威胁的属性： 可能性 影响性安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件安全威胁的评估* 国际公布的IT威胁的统计概率 用户的事件或故障报告 IDS的数据的采样威胁的属性--可能性Likelihood*和系统现有的安全措施相关，主要依靠经验来判断。威胁的属性—严重性Impact*在弱点和威胁评估时充分考虑现有安全措施及强弱程度对其影响。安全技术措施安全控制手段有效的安全服务安全策略现有安全措施界定* 信息资产界定 安全弱点和威胁的评估 风险量化和计算 安全评估报告 安全解决方案安全风险评估流程*风险值=资产价值X威胁值X弱点值 此处=威胁值已经考虑现有安全措施对其影响风险的计算* 避免——完全消除风险 降低——减小弱点、威胁的可能性和严重性 接受——承担一些风险 转嫁——责任外包，保险 回避——不开展此业务或应用（消极） 威慑——通过追究责任的方式风险处置措施*1.     避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。2.       降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。3.       减小风险的后果或影响：在某些情况下，可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一起，可以达到减小风险的目的，也成为“风险控制”。4.       转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。5.       接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。选择处置办法的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，如果以相对较低的花费可以大大减小风险的程度，则应选择实施这样的处置方法。*风险处置措施* 信息资产界定 安全弱点和威胁的评估 风险量化和计算 安全评估报告 安全解决方案安全风险评估流程* 信息资产列表总结 安全弱点评估总结 安全威胁评估总结 现有安全措施列表总结 风险量化和评级总结 风险的处置和接受总结 安全措施建议总结 安全风险评估总结安全风险评估报告* 按层次描述安全现状 物理层 网络层 操作系统层 应用程序层 业务系统层 数据保护 安全现状综述 人员 安全组织 资产分类及控制 安全策略、制度与规范 业务连续性 法律和策略符合性安全现状报告* 安全风险评估分析提取需求体 需求体详细分析 需求体的业务分析 需求体的层次分析 需求体的依赖关系分析 需求体框架分析 需求分析总结需求分析* 需求体分解 安全方案建议 引言 方案建议 可行性分析 优势 推荐意见安全解决方案*风险评估主要方法介绍 安全工具扫描(网络、系统、数据库) 安全策略文档分析 安全审计和顾问访谈 业务流程评估 网络拓扑结构评估 白客渗透测试 IDS工具取样*今日议题 安全风险评估介绍 信息安全介绍 工作环节 评估的模式安全风险评估流程安全风险评估工具介绍安全风险评估工具*风险评估工具 工具介绍 工具演示 *Q&A谢谢！ **********PPT模板下载：www.1ppt.com/moban/行业PPT模板：www.1ppt.com/hangye/节日PPT模板：www.1ppt.com/jieri/PPT素材下载：www.1ppt.com/sucai/PPT背景图片：www.1ppt.com/beijing/PPT图表下载：www.1ppt.com/tubiao/优秀PPT下载：www.1ppt.com/xiazai/PPT教程：www.1ppt.com/powerpoint/Word教程：www.1ppt.com/word/Excel教程：www.1ppt.com/excel/资料下载：www.1ppt.com/ziliao/PPT课件下载：www.1ppt.com/kejian/范文下载：www.1ppt.com/fanwen/试卷下载：www.1ppt.com/shiti/教案下载：www.1ppt.com/jiaoan/感谢你的聆听LOGO*保密性：确保只有经过授权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用资产价值计算：AssetValue=Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]}A代表机密性的权值；B代表完整性的权值；C代表可用性的权值电信运营商（最关注可用性）：A=0.7，B=0.7，C＝1.6；金融行业（最关注完整性）：A=0.7，B=1.6，C＝0.7；政府涉密部门（最关注机密性）：A=1.6，B=0.7，C＝0.7；*1.     避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。2.       降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。3.       减小风险的后果或影响：在某些情况下，可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一起，可以达到减小风险的目的，也成为“风险控制”。4.       转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。5.       接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。选择处置办法的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，如果以相对较低的花费可以大大减小风险的程度，则应选择实施这样的处置方法。