信息安全管理信息安全管理风险管理风险管理中国信息安全产品测评认证中心(中国信息安全产品测评认证中心(CNITSECCNITSEC))www.itsec.gov.cnwww.itsec.gov.cnCISPCISP--33-风险管理(培训样稿)-风险管理(培训样稿)cnitseccnitsec1认识风险2风险管理体系3风险评估方法4风险评估的实施过程课程内容cnitseccnitsec1认识风险1.1参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素课程内容cnitseccnitsec2风险管理体系课程内容2.1风险管理的概念2.2风险管理体系介绍2.2.1ISO177992.2.2AS/NZS43602.2.3GAO/AIMD98-68cnitseccnitsec3风险评估的方法课程内容3.1风险评估方法概述3.2定量的风险评估3.3定性的风险评估3.4基于要素的风险评估3.5定性风险评估与定量评估的比较cnitseccnitsec4OCTAVE风险评估的实施过程课程内容cnitseccnitsec课程练习练习练习11识别风险识别风险练习练习22定性的风险评估定性的风险评估练习练习33基于要素的风险评估基于要素的风险评估cnitseccnitsec练习一识别风险练习一识别风险1.1.请列举五个信息安全的风险的例子,请列举五个信息安全的风险的例子,并按下面的要求进行描述。并按下面的要求进行描述。2.2.要求:要求:按照资产-按照资产->>资产所面临的威胁-资产所面临的威胁->>可能可能被威胁利用的脆弱点的顺序来描述每一个被威胁利用的脆弱点的顺序来描述每一个风险。风险。cnitseccnitsec1.对练习一中所识别的风险进行定性分析。2.要求:1)列出后果和可能性的定性描述级别2)依据风险分析矩阵评估风险的级别3)给出各级别风险的处理措施练习二定性的风险评估cnitseccnitsec背景:背景:•业务部门中有极机密的交易及客户资料业务部门中有极机密的交易及客户资料•这些资料放在公司共用的主机内,并且使用简单的用这些资料放在公司共用的主机内,并且使用简单的用户名和密码系统管理户名和密码系统管理•业务部门的业务员外出时可利用笔记本电脑经由国际业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料互联网到公司主机中存取该资料请分组讨论请分组讨论•威胁威胁•脆弱性脆弱性•风险等级如何?风险等级如何?练习三基于要素的风险评估cnitseccnitsec注意事项注意事项-积极参与,活跃气氛-守时-移动电话设置到静音状态-紧急情况下有秩序疏散cnitseccnitsec1.1参考资料1.2风险评估的需求1.3风险的定义1.4风险的要素1认识风险cnitseccnitsec1.1重要参考资料ISO1333...
