《信息安全风险管理》梗概

第一章、概述

一、什么是信息安全风险?
威胁利用脆弱性对风险管理对象造成的不确定性影响。

二、什么是风险管理?
对风险的定义、测量、评估和应对风险的策略。
目的是将能够规避的风险、成本以及损失最小化。
信息安全风险管理是一个持续的管理过程,包括:建立风险评估框架、实施风险评估、利用风险处置计划实施风险建议和决策并处置风险,最后通过评审持续改进。

三、风险管理到底管什么?
以业务为中心,管理
数据:视频、声音、图形,继而具体到数据的具体存储格式
载体:承载信息的媒介,有形载体、无形载体
环境和边界:环境(数据和承载数据的载体所依赖的软硬件资源,进而扩展到软硬件资源所依赖的具体环境)

4、风险管理的环节:
1、确定风险管理框架
2、风险识别
3、风险分析
4、风险处理(回避、降低、转移、接受)
5、风险管理评审

四、 风险管理的模型常用模型:

  • PDR(保护、检测、响应)
  • P2DR(安全策略、保护、检测、响应)
  • PDRR(保护、检测、响应、恢复)
  • MPDRR(管理、保护、检测、响应、恢复)
  • WPDRRC(预警、保护、检测、响应、恢复、反击) Counterattack(反击)
  1. 风险管理的对象本质对象:业务实体对象:数据、载体、环境与边界
  2. 风险管理的环节:确定管理框架、风险识别、风险分析、风险评价、风险处置、风险管理评审

第二章、信息安全风险管理相关标准

  1. ISO/IEC31000
  2. ISO/IEC 13335
  3. ISO/IEC 27005
  4. 卡内基梅隆
  5. GB/T 20984

第三章、信息安全风险评估的实现

  1. 风险评估的原则:
    1)、标准性原则
    2)、关键业务原则
    3)、可控性原则
    4)、最小影响原则
    5)、可恢复性原则
    6)、保密性原则

  2. 风险评估过程:风险识别、风险分析、风险评价

  • 风险识别:资产识别、威胁识别、脆弱性识别、确认已有安全措施
  • 风险分析:风险是否需要被处理以及最适当的处理策略和方法,包括风险值的计算和已有安全措施的确认
  • 风险评价:将风险分析的结果与预先设定的风险准则相比较,确认风险,制定和实施风险处理计划并评估残余风险,以及是否接受残余风险。

第四章、信息安全风险处置

  1. 风险处理过程框架
    (1)、明确风险处置的目标
    (2)、制定风险处理计划并定义各处理计划的优先级
    (3)、确定风险安全处置的依据和办法
    (4)、编制风险处置方案
    (5)、实施风险处理方案并检测结果

  2. 风险处理方法
    (1)、风险规避(避免目标遭受风险的影响)
    (2)、风险转移
    (3)、风险降低
    (4)、风险接受

风险评估工具:
  • 风险评估与管理工具
  • 系统基础平台风险评估工具
  • 风险评估辅助工具

风险评估与管理工具:
(1)、基于信息安全标准的
(2)、基于知识的
(3)、基于模型的

posted @ 2020-04-07 16:02  人间修行  阅读(629)  评论(0编辑  收藏  举报