信息安全风险管理培训机构名称讲师姓名版本: 3.0发布日期: 2014-12-1生效日期: 2015-1-1课程内容2知识体知识域知识子域信息安全风险管理信息安全风险管理主要内容信息安全风险管理的基本内容和过程信息安全风险管理概述风险相关基本概念信息系统生命周期与信息安全风险管理信息安全风险管理基础信息安全风险相关政策与标准信息安全风险评估风险评估工作形式风险评估方法风险评估的实施流程风险评估工具知识域:信息安全风险管理基础知识子域: 风险相关基础概念 理解风险的概念,理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念 理解风险准则、风险评估、风险处理、风险管理、残余风险的概念,掌握信息安全风险评估的概念 理解风险相关要素之间的关系3 风险,指事态的概率及其结果的组合 (—— GB/Z 24364-2009 《信息安全风险管理指南》) 信息安全风险,指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响(—— GB/T 20984-2007 《信息安全风险评估规范》) 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性风险、信息安全风险的概念4 风险的构成包括五个方面:起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)和后果(影响)风险的构成5资产载体威胁源威胁行为影响环境脆弱性风险相关术语 资产( Asset ) 威胁( Threat ) 脆弱性( Vunerability ) 可能性( Likelihood, Probability ) 安全措施 / 控制措施( Countermeasure, safeguard, control )6 业务战略 安全事件 安全需求 风险准则 风险评估 风险处理 风险管理 残余风险( Residental Risk ) 信息安全风险评估资产资产是任何对组织有价值的东西,是要保护的对象资产以多种形式存在(多种分类方法) 物理的(如计算设备、网络设备和存储介质等)和逻辑的(如体系结构、通信协议、计算程序和数据文件等) 硬件的(如计算机主板、机箱、显示器、键盘和鼠标等)和软件的(如操作系统软件、数据库管理软件、工具软件和应用软件等) 有形的(如机房、设备和人员等)和无形的(如品牌、信心和名誉等) 静态的(如设施和规程等)和动态的(如人员和过程等) 技术的(如计算机硬件、软件和固件等)和管理的(如业务目标、战略、策略、规程、过程、计划...
