沉昌祥院士_风险管理与应急体系

沉昌祥院士_风险管理与应急体系

ID:45334754

大小:291.50 KB

页数:25页

时间:2019-11-12

沉昌祥院士_风险管理与应急体系_第1页
沉昌祥院士_风险管理与应急体系_第2页
沉昌祥院士_风险管理与应急体系_第3页
沉昌祥院士_风险管理与应急体系_第4页
沉昌祥院士_风险管理与应急体系_第5页
资源描述:

《沉昌祥院士_风险管理与应急体系》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、风险管理与应急体系国家信息化专家咨询委员会委员沈昌祥院士信息安全的风险管理和应急处理是信息安全保障体系中的重要环节。对保证电信网络的安全有至关重要的意义。科学合理的实施风险管理和应急处理,将为电信网络提供有效的安全保障手段。一、信息安全的风险管理风险:安全事件发生(即保密性、完整性、可用性损失)的概率及其可能造成影响下,脆弱性被利用后所产生的实际负面影响。风险管理:识别风险,评估风险,采取步骤减缓风险并将它降到可接受的水平之内的过程。风险管理就是保护组织机构的信息资产及业务,保护其完成使命的能力。不仅是其IT资产价值,而且是专业人员实施技术功能和组织机构管理功能的综合。即信息资产的保护和业

2、务能力的保证。信息资产由价值表示,分为经济价值和社会价值。用下图表示:经济价值社会价值综合价值业务能力表现在信息服务上,分为服务范围和连续性依赖程度。服务范围连续性依赖综合能力保证等级保护应根据信息系统的综合价值和综合能力保证的要求不同来确定其相应的保护等级。风险管理包括三个过程:1、风险评估:对风险及其影响的识别和评价,建议如何降低风险。2、风险减缓:对风险评估过程中所推荐的风险降低措施进行优先级排序,加以实现和维护。3、评价确认:对风险评估结果进行判断,以明确在风险减缓措施实施后残余的风险是否可以接受。否是否风险评估实施流程图是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有

3、的安全措施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档…………………风险评估实施流程:来自风险评估报告的风险级别步骤1:对行动优先级进行排序由高到低的行动优先级风险评估报告可能的控制清单成本效益分析所选择的安全控制责任人清单安全措施实现计划步骤2:评估所建议的安全选项可用性、有效性步骤3:实施成本效益分析步骤4:选择安全控制步骤5:分配责任步骤6:制定安全措施的实现计划风险及相关风险的级别优先级排序后的行动所建议的控制所选择的预期控制责任人员开始日期目标完成日期维护要求步骤7:实现所选择的

4、安全控制残余风险风险减缓方法流程:降低威胁能力降低残余风险:降低脆弱性新增或强化安全措施残余风险能接受?降低负面影响维持是否成功的关键:1、高层管理者的决心2、IT团队全力支持和参与3、风险评估小组能力4、用户的意识和合作5、对使命风险进行持续的评价和评估二、信息安全应急体系框架(一)应急规划做好风险管理工作,使脆弱性和威胁最小化,但不可能完全消除,也有可能遭受系统被破坏。安全应急是一种协调的战略过程,涉及到计划、流程和技术措施,以使IT系统、运行和数据在被破坏后能够得到恢复。这涉及到法律、组织管理和技术支持等环节,首先要做好应急规划。应急规划计划流程技术基础信息网络重要信息系统应急规划:

5、计划目的范围业务连续性计划提供在从严重破坏中恢复时保持必要的业务运行的流程涉及到业务过程,并由于其对业务过程的支持而涉及到IT业务恢复/再继续计划提供灾难发生后立即恢复业务运行的流程涉及到业务过程;并不关注IT;仅限据其对业务过程的支持而涉及到IT运行连续性计划提供在30天之内在备用站点保持机构必要的战略功能的能力涉及到被认为是最关键的机构使命子集;通常在总部级制定;不关注IT支持连续性计划提供恢复主应用或通用支撑系统的流程和能力同IT应急计划;涉及到IT系统破坏;不关注业务过程应急计划类型(1/2):计划目的范围危机沟通计划提供将状态报告分发给员工和公众的流程涉及到和人员及公众的沟通,不

6、关注IT计算机事件响应计划为检测、响应恶意计算机事件,并限制其后果提供战略关注于对影响系统和/或网络的事件的信息安全响应灾难恢复计划为帮助在备用站点实现能力恢复提供详细流程经常关注IT,限于会带来长时间破坏影响的主要破坏拥有者应急计划提供经过协调的流程,从而在应对物理威胁时,将生命损失和伤害降到最低,并保护财产免遭损害关注针对特定设施的特殊人员和财产;而不是基于业务过程或IT系统功能应急计划类型(2/2):不同计划之间的关系:应急贯穿系统全生命周期:开发/采办阶段实现阶段运行/维护阶段启动阶段废弃阶段进行测试计划的培训、演习随时准备实现原系统确定应急需求确定应急方案(二)应急规划过程1、制

7、定应急规划的政策说明2、实施业务影响分析3、确定预防性控制4、制定恢复战略5、制定IT应急计划6、计划的测试、培训和演习7、计划维护应急规划的过程:(三)技术支持常见的考虑事项包括:数据、应用和操作系统的备份与异地存储关键系统组建或能力的冗余系统配置和要求文档在系统组件间以及主备点间互操作,以加快系统恢复适当规模的电源管理系统和环境控制广域网应急策略:WAN的文档记录和厂商的协调与安全政策和控制保持协调确定单点故障实现关

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。