沈昌祥院士風(fēng)險管理與應(yīng)急體系_第1頁
沈昌祥院士風(fēng)險管理與應(yīng)急體系_第2頁
沈昌祥院士風(fēng)險管理與應(yīng)急體系_第3頁
沈昌祥院士風(fēng)險管理與應(yīng)急體系_第4頁
沈昌祥院士風(fēng)險管理與應(yīng)急體系_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

沈昌祥院士風(fēng)險管理與應(yīng)急體系2024/3/24沈昌祥院士風(fēng)險管理與應(yīng)急體系信息安全的風(fēng)險管理和應(yīng)急處理是信息安全保障體系中的重要環(huán)節(jié)。對保證電信網(wǎng)絡(luò)的安全有至關(guān)重要的意義??茖W(xué)合理的實施風(fēng)險管理和應(yīng)急處理,將為電信網(wǎng)絡(luò)提供有效的安全保障手段。沈昌祥院士風(fēng)險管理與應(yīng)急體系一、信息安全的風(fēng)險管理

風(fēng)險:安全事件發(fā)生(即保密性、完整性、可用性損失)的概率及其可能造成影響下,脆弱性被利用后所產(chǎn)生的實際負(fù)面影響。風(fēng)險管理:識別風(fēng)險,評估風(fēng)險,采取步驟減緩風(fēng)險并將它降到可接受的水平之內(nèi)的過程。沈昌祥院士風(fēng)險管理與應(yīng)急體系風(fēng)險管理就是保護(hù)組織機(jī)構(gòu)的信息資產(chǎn)及業(yè)務(wù),保護(hù)其完成使命的能力。不僅是其IT資產(chǎn)價值,而且是專業(yè)人員實施技術(shù)功能和組織機(jī)構(gòu)管理功能的綜合。即信息資產(chǎn)的保護(hù)和業(yè)務(wù)能力的保證。沈昌祥院士風(fēng)險管理與應(yīng)急體系信息資產(chǎn)由價值表示,分為經(jīng)濟(jì)價值和社會價值。用下圖表示:經(jīng)濟(jì)價值社會價值綜合價值沈昌祥院士風(fēng)險管理與應(yīng)急體系業(yè)務(wù)能力表現(xiàn)在信息服務(wù)上,分為服務(wù)范圍和連續(xù)性依賴程度。服務(wù)范圍連續(xù)性依賴綜合能力保證沈昌祥院士風(fēng)險管理與應(yīng)急體系等級保護(hù)應(yīng)根據(jù)信息系統(tǒng)的綜合價值和綜合能力保證的要求不同來確定其相應(yīng)的保護(hù)等級。沈昌祥院士風(fēng)險管理與應(yīng)急體系風(fēng)險管理包括三個過程:1、風(fēng)險評估:對風(fēng)險及其影響的識別和評價,建議如何降低風(fēng)險。2、風(fēng)險減緩:對風(fēng)險評估過程中所推薦的風(fēng)險降低措施進(jìn)行優(yōu)先級排序,加以實現(xiàn)和維護(hù)。3、評價確認(rèn):對風(fēng)險評估結(jié)果進(jìn)行判斷,以明確在風(fēng)險減緩措施實施后殘余的風(fēng)險是否可以接受。沈昌祥院士風(fēng)險管理與應(yīng)急體系否是否風(fēng)險評估實施流程圖是風(fēng)險評估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險計算風(fēng)險是否接受保持已有的安全措施選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險

風(fēng)險分析評估過程文檔評估過程文檔風(fēng)險評估文件記錄評估結(jié)果文檔…風(fēng)險評估實施流程:沈昌祥院士風(fēng)險管理與應(yīng)急體系來自風(fēng)險評估報告的風(fēng)險級別步驟1:對行動優(yōu)先級進(jìn)行排序由高到低的行動優(yōu)先級風(fēng)險評估報告可能的控制清單成本效益分析所選擇的安全控制責(zé)任人清單安全措施實現(xiàn)計劃步驟2:評估所建議的安全選項可用性、有效性步驟3:實施成本效益分析步驟4:選擇安全控制步驟5:分配責(zé)任步驟6:制定安全措施的實現(xiàn)計劃風(fēng)險及相關(guān)風(fēng)險的級別優(yōu)先級排序后的行動所建議的控制所選擇的預(yù)期控制責(zé)任人員開始日期目標(biāo)完成日期維護(hù)要求步驟7:實現(xiàn)所選擇的安全控制殘余風(fēng)險風(fēng)險減緩方法流程:沈昌祥院士風(fēng)險管理與應(yīng)急體系降低威脅能力降低殘余風(fēng)險:降低脆弱性新增或強(qiáng)化安全措施殘余風(fēng)險能接受?降低負(fù)面影響維持是否沈昌祥院士風(fēng)險管理與應(yīng)急體系成功的關(guān)鍵:1、高層管理者的決心2、IT團(tuán)隊全力支持和參與3、風(fēng)險評估小組能力4、用戶的意識和合作5、對使命風(fēng)險進(jìn)行持續(xù)的評價和評估沈昌祥院士風(fēng)險管理與應(yīng)急體系二、信息安全應(yīng)急體系框架(一)應(yīng)急規(guī)劃做好風(fēng)險管理工作,使脆弱性和威脅最小化,但不可能完全消除,也有可能遭受系統(tǒng)被破壞。安全應(yīng)急是一種協(xié)調(diào)的戰(zhàn)略過程,涉及到計劃、流程和技術(shù)措施,以使IT系統(tǒng)、運行和數(shù)據(jù)在被破壞后能夠得到恢復(fù)。這涉及到法律、組織管理和技術(shù)支持等環(huán)節(jié),首先要做好應(yīng)急規(guī)劃。沈昌祥院士風(fēng)險管理與應(yīng)急體系應(yīng)急規(guī)劃計劃流程技術(shù)基礎(chǔ)信息網(wǎng)絡(luò)重要信息系統(tǒng)應(yīng)急規(guī)劃:沈昌祥院士風(fēng)險管理與應(yīng)急體系計劃目的范圍業(yè)務(wù)連續(xù)性計劃提供在從嚴(yán)重破壞中恢復(fù)時保持必要的業(yè)務(wù)運行的流程涉及到業(yè)務(wù)過程,并由于其對業(yè)務(wù)過程的支持而涉及到IT業(yè)務(wù)恢復(fù)/再繼續(xù)計劃提供災(zāi)難發(fā)生后立即恢復(fù)業(yè)務(wù)運行的流程涉及到業(yè)務(wù)過程;并不關(guān)注IT;僅限據(jù)其對業(yè)務(wù)過程的支持而涉及到IT運行連續(xù)性計劃提供在30天之內(nèi)在備用站點保持機(jī)構(gòu)必要的戰(zhàn)略功能的能力涉及到被認(rèn)為是最關(guān)鍵的機(jī)構(gòu)使命子集;通常在總部級制定;不關(guān)注IT支持連續(xù)性計劃提供恢復(fù)主應(yīng)用或通用支撐系統(tǒng)的流程和能力同IT應(yīng)急計劃;涉及到IT系統(tǒng)破壞;不關(guān)注業(yè)務(wù)過程應(yīng)急計劃類型(1/2):沈昌祥院士風(fēng)險管理與應(yīng)急體系計劃目的范圍危機(jī)溝通計劃提供將狀態(tài)報告分發(fā)給員工和公眾的流程涉及到和人員及公眾的溝通,不關(guān)注IT計算機(jī)事件響應(yīng)計劃為檢測、響應(yīng)惡意計算機(jī)事件,并限制其后果提供戰(zhàn)略關(guān)注于對影響系統(tǒng)和/或網(wǎng)絡(luò)的事件的信息安全響應(yīng)災(zāi)難恢復(fù)計劃為幫助在備用站點實現(xiàn)能力恢復(fù)提供詳細(xì)流程經(jīng)常關(guān)注IT,限于會帶來長時間破壞影響的主要破壞擁有者應(yīng)急計劃提供經(jīng)過協(xié)調(diào)的流程,從而在應(yīng)對物理威脅時,將生命損失和傷害降到最低,并保護(hù)財產(chǎn)免遭損害關(guān)注針對特定設(shè)施的特殊人員和財產(chǎn);而不是基于業(yè)務(wù)過程或IT系統(tǒng)功能應(yīng)急計劃類型(2/2):沈昌祥院士風(fēng)險管理與應(yīng)急體系不同計劃之間的關(guān)系:沈昌祥院士風(fēng)險管理與應(yīng)急體系應(yīng)急貫穿系統(tǒng)全生命周期:開發(fā)/采辦階段實現(xiàn)階段運行/維護(hù)階段啟動階段廢棄階段進(jìn)行測試計劃的培訓(xùn)、演習(xí)隨時準(zhǔn)備實現(xiàn)原系統(tǒng)確定應(yīng)急需求確定應(yīng)急方案沈昌祥院士風(fēng)險管理與應(yīng)急體系(二)應(yīng)急規(guī)劃過程1、制定應(yīng)急規(guī)劃的政策說明2、實施業(yè)務(wù)影響分析3、確定預(yù)防性控制4、制定恢復(fù)戰(zhàn)略5、制定IT應(yīng)急計劃6、計劃的測試、培訓(xùn)和演習(xí)7、計劃維護(hù)沈昌祥院士風(fēng)險管理與應(yīng)急體系應(yīng)急規(guī)劃的過程:沈昌祥院士風(fēng)險管理與應(yīng)急體系(三)技術(shù)支持常見的考慮事項包括:數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲關(guān)鍵系統(tǒng)組建或能力的冗余系統(tǒng)配置和要求文檔在系統(tǒng)組件間以及主備點間互操作,以加快系統(tǒng)恢復(fù)適當(dāng)規(guī)模的電源管理系統(tǒng)和環(huán)境控制沈昌祥院士風(fēng)險管理與應(yīng)急體系廣域網(wǎng)應(yīng)急策略:WAN的文檔記錄和廠商的協(xié)調(diào)與安全政策和控制保持協(xié)調(diào)確定單點故障實現(xiàn)關(guān)鍵組件冗余制定服務(wù)級別協(xié)定沈昌祥院士風(fēng)險管理與應(yīng)急體系應(yīng)急方案:確保廣域網(wǎng)的可用性冗余的通信線路:線路在物理上是分離的;冗余的網(wǎng)絡(luò)服務(wù)提供商:NSP之間沒有任何點共享同一設(shè)備;冗余的網(wǎng)絡(luò)連接設(shè)備:雙重網(wǎng)絡(luò)連接設(shè)備;來自NSP或者ISP的冗余:評估其核心網(wǎng)絡(luò)的健壯性、可靠性。沈昌祥院士風(fēng)險管理與應(yīng)急體系結(jié)束語我國對信息系統(tǒng)的風(fēng)險管理和應(yīng)急處理研究還剛起步,局限在政策宏觀層面上,其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論