cisaw安全运维培训资料 - 图文 

风险评估

?从信息安全运维的角度来讲，风险评估是对运维过

程中组织结构、人员行为、安全策略、安全设施、运维平台和运维活动等涉及的资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。?主要任务

?识别评估对象面临的各种风险?评估风险概率和可能带来的负面影响?确定组织承受风险的能力?确定风险消减和控制的优先等级?推荐风险消减对策

中国信息安全认证中心信息安全保障人员认证

风险评估步骤

?风险识别，风险识别是指查找和梳理企业运维过程中组织

结构、人员行为、安全策略、安全设施、运维平台和运维活动等有无安全风险，有哪些安全风险及威胁。

?风险分析，风险分析是对识别出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。

?风险评价，风险评价是评估风险对企业实现安全运维目标的影响程度、风险的价值等。

中国信息安全认证中心信息安全保障人员认证

风险评估方法

?无论何种方法，共同的目标都是找出组织信息资产面临的

????

风险及其影响，以及目前安全运维水平与组织安全需求之间的差距。

基于知识的分析方法基于模型的分析方法定性分析定量分析

中国信息安全认证中心信息安全保障人员认证

基于知识的分析方法

?经验方法

?采集评估信息

?对当前的信息安全策略和文档进行复查?会议讨论?问卷调查?人员访谈?实地考察?辅助性工具Cobra

中国信息安全认证中心信息安全保障人员认证

基于模型的分析方法

?利用数学模型进行风险分析?识别风险?分析风险?评价风险?处理风险

中国信息安全认证中心信息安全保障人员认证