ISO27001信息资产识别和分类培训共25页PPT资料
合集下载
ISO27001-2013内审培训(2017最新培训课件)
Page 22
第九章 绩效评价
9.2 内部审核
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a) 符合 1) 组织自身信息安全管理体系的要求; 2) 本标准的要求; b) 得到有效的实施和保持。
组织应: c) 规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报 告。审核方案应考虑所关注过程的重要性以及以往审核的结果; d) 为每次审核定义审核准则和审核范围; e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性; f) 确保审核结果报告给相关的管理者; g) 保留文件记录信息作为审核方案和审核结果的证据。
引言
0.1 总则 0.2 与其他管理体系的兼容性
1 范围 2 规范性引用文件 3 术语和定义
Page 4
第四章 组织环境
4.1 理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部 问题。
4. 2 理解相关方的需求和期望
组织应确定
a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求
注:组织可按要求设计控制措施,或从其他来源识别控制措施。 c) 将 6.1.3 b)所确定的控制措施与附录 A 的控制措施进行比较,以核实没有遗 漏必要的控制措施;
注1:附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保 不会遗漏必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的 控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
说明:新版 4-7 是P,8是D,9是C,10是A
Page 7
第五章 领导
5.1 领导和承诺 高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承
第九章 绩效评价
9.2 内部审核
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a) 符合 1) 组织自身信息安全管理体系的要求; 2) 本标准的要求; b) 得到有效的实施和保持。
组织应: c) 规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报 告。审核方案应考虑所关注过程的重要性以及以往审核的结果; d) 为每次审核定义审核准则和审核范围; e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性; f) 确保审核结果报告给相关的管理者; g) 保留文件记录信息作为审核方案和审核结果的证据。
引言
0.1 总则 0.2 与其他管理体系的兼容性
1 范围 2 规范性引用文件 3 术语和定义
Page 4
第四章 组织环境
4.1 理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部 问题。
4. 2 理解相关方的需求和期望
组织应确定
a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求
注:组织可按要求设计控制措施,或从其他来源识别控制措施。 c) 将 6.1.3 b)所确定的控制措施与附录 A 的控制措施进行比较,以核实没有遗 漏必要的控制措施;
注1:附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保 不会遗漏必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的 控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
说明:新版 4-7 是P,8是D,9是C,10是A
Page 7
第五章 领导
5.1 领导和承诺 高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承
ISO27001文件-ISO27001信息安全管理体系标准培训
• 各类安全控制手段实施指南
• 包括管理制度要求 • 建立管理体系的参考 • 不用于认证
信息安全管理体系规范 ISO27001:2005
• 管理体系框架
• 明确控制要求(没有详细的指南) • 强制性要求 • 用于体系认证
V1.0
30
xxx
ISO27000系列标准介绍
ISO/IEC 27000 — 标准介绍及术语 ISO/IEC 27001 — 信息安全管理体系要求 ISO/IEC 27002 — 信息安全管理实施细则 ISO/IEC 27003 — 信息安全管理体系实施指南 ISO/IEC 27004 — 信息安全管理测量方法 ISO/IEC 27005 — 信息安全管理体系风险评估 ISO/IEC 27006 — 认证机构认可要求
V1.0
20
xxx
什么是信息安全?
对一个门户网站而言,其信息安全的核心是:
网站信息能够准确和及时发布 保证网站随时随地可访问 网站发布的所有新闻必须是合法的
V1.0
21
xxx
什么是信息安全?
对网上银行而言,其信息安全的核心是:
客户信息资料的保密性得到充分保证 客户信息资料不出现任何错误 网上电子商务随时可获取
V1.0
26
xxx
与CIA相反的三元素(DAD)
泄漏(Disclosure) 篡改(Alteration) 破坏(Destruction)
信息安全面临的最普遍的风险
V1.0
27
xxx
第二部分 信息安全概念及背景
关于信息及信息资产 关于信息安全 关于信息安全管理标准的发展 关于其他相关标准及指南
确保经授权的人员在需要的 时候可以访问信息及相关资产
• 包括管理制度要求 • 建立管理体系的参考 • 不用于认证
信息安全管理体系规范 ISO27001:2005
• 管理体系框架
• 明确控制要求(没有详细的指南) • 强制性要求 • 用于体系认证
V1.0
30
xxx
ISO27000系列标准介绍
ISO/IEC 27000 — 标准介绍及术语 ISO/IEC 27001 — 信息安全管理体系要求 ISO/IEC 27002 — 信息安全管理实施细则 ISO/IEC 27003 — 信息安全管理体系实施指南 ISO/IEC 27004 — 信息安全管理测量方法 ISO/IEC 27005 — 信息安全管理体系风险评估 ISO/IEC 27006 — 认证机构认可要求
V1.0
20
xxx
什么是信息安全?
对一个门户网站而言,其信息安全的核心是:
网站信息能够准确和及时发布 保证网站随时随地可访问 网站发布的所有新闻必须是合法的
V1.0
21
xxx
什么是信息安全?
对网上银行而言,其信息安全的核心是:
客户信息资料的保密性得到充分保证 客户信息资料不出现任何错误 网上电子商务随时可获取
V1.0
26
xxx
与CIA相反的三元素(DAD)
泄漏(Disclosure) 篡改(Alteration) 破坏(Destruction)
信息安全面临的最普遍的风险
V1.0
27
xxx
第二部分 信息安全概念及背景
关于信息及信息资产 关于信息安全 关于信息安全管理标准的发展 关于其他相关标准及指南
确保经授权的人员在需要的 时候可以访问信息及相关资产
ISO27001标准详解(培训课件)
制定实施计划
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001信息安全管理体系介绍(PPT 52张)
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
信息安全管理标准(iso27001)资产分类方法
ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一,它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。
资产分类是ISO27001标准中一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类,以便更好地管理和保护这些资产。
在ISO27001标准中,对资产进行分类有助于组织确定其价值、优先级和安全要求,从而合理分配资源和采取措施来保护这些资产。
2. 资产分类的方法在ISO27001标准中,资产分类的方法通常包括以下几个步骤:- 需要识别和确定组织内的所有信息资产,包括数据、设备、软件等,无论其形式和存储方式。
- 根据信息资产的重要性、机密性、完整性和可用性等特征,对这些资产进行分类和分级。
通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类,也可以根据具体情况结合其他因素进行综合分类。
- 根据不同级别的信息资产,制定相应的安全措施和管理规定。
对于高级别的资产,可能需要采取更严格的加密、访问控制、备份等措施,而对于低级别的资产,则可以适当降低安全要求和成本。
- 需要建立完善的资产管理制度和流程,包括对资产进行标识、登记、审查和更新,以确保资产分类的持续有效和准确性。
3. 个人观点和理解从我个人的观点来看,资产分类对于信息安全管理至关重要。
通过对信息资产进行科学合理的分类,组织可以更好地了解其拥有的资源和风险,有针对性地制定和实施安全措施,提高信息资产的保护水平。
资产分类也有助于优化资源配置和管理成本,避免对所有资产一刀切的安全策略,提高安全管理的效率和灵活性。
总结回顾在ISO27001信息安全管理标准中,资产分类是一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
通过合理的资产分类方法,组织可以更好地了解自身的信息资产,有针对性地制定安全措施,并提高信息资产的保护水平。
27001培训
一级文件:全组织范围内的信息安全方针,以及下属各个 方面的策略方针等。一级文件至少包括(可能不限于此):
信息安全方针 风险评估报告 适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):
风险评估流程、风险管理流程、风险处理计划、管理评审程序 信息设备管理程序、信息安全组织建设规定、新设施管理程序、 内部审核程序 第三方和外包管理规定、信息资产管理规定、工作环境安全管理规定 介质处理与安全规定、 系统开发与维护程序、业务连续性管理程序、法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序、安全事件处理流程
+ 在程序规定了如何进行信息资产风险的评
价方法。 + 27001\B层\[ISMS-B-01]信息安全风险管理程 序.doc + 27001\D-62信息资产识别评价表0.xlsx + 27001\D-64信息资产风险识别评估表.xlsx
+ GB/T22080-2008共有8个章节,重点章节为4-8
二级文件:程序 属于技术 性与操作 性文件由 ISMS推动 小组另订 三级文件:规划、手册、操作说明、 计划、管理办法
四级文件:表单、报告、记录、合约
1. 2. 3.
4.
5. 6.
7.
制定方针 确定边界 识别资产 风险评估 风险处臵 风险接受 动态的风险管理
制定方针 确定边界 识别资产 风险评估 风险处置 风险接受 动态的风险管理
8.2 纠正措施
组织应该采取措施,消除并实施和操作ISMS 相关的不一致因 素,避免其再次出现。
8.3 预防措施
为了防止将来出现不一致,应该确定防护措施。所采取的预防 措施应与潜在问题的影响相适宜。
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国内标准 信息安全风险评估指南
风险管理各要素之间的关系
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
安全需求
导出
被满足
残留
演变
事件
可能诱发
残余风险
未控制
安全措施
风险评估的相关术语
资产(Asset)任何对组织有价值的东西,是一 个完整信息系统的组成部分,是风险评估的对象。
威胁(Threat) 可能导致对系统或组织的损害的 不期望事件发生的潜在原因
信息资产 ISO27001 识别与分类
myulo:企业管理实战专家
信息安全事件损失估算
直接损失:(水上面的部分) 损失了数据 间接损失(5~30倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损
信息安全评估标准
国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799
随身携带 XXX 是;办公用
随身携带
办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室
XXX
XXX XXX XXX XXX XXX XXX XXX XXX XXX
是;有用来联系业务,顾 问讲课录音用 是;存放客户资料与公司 资料
是;与客户互发传真
是;与客户联系用 是;打印扫描公司重要资 料 是;装订重要文件
资产编号
服务器
资产
电话系统(交换总机)
服务器UPS
资产例子——服务
所有者/位置
资产编他资产例子1
序号 资产类别 资产名称 硬件 笔记本电脑
硬件 手机
硬件 U盘
硬件 硬件 硬件 硬件 硬件 硬件
传真机
电话 扫描打印一 体机 热熔机
路由器
上网猫
硬件 投影仪
硬件 照相机
资产编号 所在位置 责任人 是否重要信息资产及理由 备注
是;公司电脑共享上网
是;公司上网用 是;公司例会,顾问去客 户那里讲课用 是;客户启动大会拍照用
其他资产例子2
资产编码
资产名称
类别
位置
用途 应用情况
EB-DOC-010 OA源代码
数据 192.168.0.5
所有者/位置 财务 物流 市场&销售 财务 财务 财务 区域经理 物流 市场&销售 财务 财务 财务 市场&销售
资产编号
退税 信件 信件 公司介绍 外包服务合同 快信投寄单 供应商清单 客户信息 个人文件
资产
资产例子——纸质文件
所有者/位置 财务 财务 市场&销售 财务 物流 物流 物流 市场&销售 市场&销售
资产例子——信息资产
所有者/位置 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 市场&销售 服务器 市场&销售
资产编号
资产 供应商合同 供应商合同 供应商合同 财务合同 预算 销售合同(信用卡) 销售合同(信用卡) 销售合同 销售合同 银行声明 账单 合同发票 客户信息
资产例子——纸质文件
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售 财务×3 物流×5 市场&销售×2 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 市场&销售×2
资产编号
资产 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 金碟财务软件 PC Anywhere远程监控 PC Anywhere远程监控 PC Anywhere远程监控 金碟K3仓储软件 Pretty Good Privacy
资产编号
调制解调器 调制解调器 激光打印机 激光打印机 复印机 笔记本电脑 网络集中器 以太网卡 以太网卡 以太网卡 磁带驱动器 备份磁带 DVD刻录机 存档CD/DVD
资产
资产例子——实体资产
所有者/位置 货仓 服务器 物流 货仓 物流 总经理 网络×2 市场&销售×2 物流×5 财务×3 服务器 服务器×3 服务器 服务器
脆弱性(Vulnerability)可能会被一个或多个威 胁所利用的资产或一组资产的弱点
风险分析原理
资产识别 脆弱性识别
威胁识别
价值 严重程度 出现的频率
损失 可能性
风险值
资产识别与分类
数据
存在信息媒介上的各种数据资料,包括源代码、数据 库数据、系统文档、运行管理规程、计划、报告、用 户手册等
资产编号
资产 Windows98 operating system Windows98 operating system Windows98 operating system Windows98 operating system Microsoft Word 2000 Microsoft Word 2000 Microsoft Word 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 货仓 服务器 市场&销售 货仓 服务器
资产编号
桌上个人电脑 桌上个人电脑 桌上个人电脑 桌上个人电脑 电话 电话 电话 电话 传真机 保险箱 储藏柜 储藏柜 储藏柜 计算器
资产
资产例子——实体资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 货仓 市场&销售×3 物流 财务 财务×2 物流×3 市场&销售×3 财务×3
软件 系统软件、应用软件、源程序、数据库等
硬件 文档 人员
网络设备、计算机设备、存储设备、移动存储设备、 传输线路、保障设备、安全保障设备、其他电子设备 等
纸质的各种文件、传真、电报、财务报告、发展计划 等
各级人员
服务 办公服务、网络服务、信息服务等
资产 薪资方案表 采购合同表-供应商 采购合同表-订约人 区域销售合同 股票控制记录 销售合同-Access数据库 供应商清单-Access数据库 金碟财务记录 销售代理清单 邮件 培训资料
风险管理各要素之间的关系
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
安全需求
导出
被满足
残留
演变
事件
可能诱发
残余风险
未控制
安全措施
风险评估的相关术语
资产(Asset)任何对组织有价值的东西,是一 个完整信息系统的组成部分,是风险评估的对象。
威胁(Threat) 可能导致对系统或组织的损害的 不期望事件发生的潜在原因
信息资产 ISO27001 识别与分类
myulo:企业管理实战专家
信息安全事件损失估算
直接损失:(水上面的部分) 损失了数据 间接损失(5~30倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损
信息安全评估标准
国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799
随身携带 XXX 是;办公用
随身携带
办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室
XXX
XXX XXX XXX XXX XXX XXX XXX XXX XXX
是;有用来联系业务,顾 问讲课录音用 是;存放客户资料与公司 资料
是;与客户互发传真
是;与客户联系用 是;打印扫描公司重要资 料 是;装订重要文件
资产编号
服务器
资产
电话系统(交换总机)
服务器UPS
资产例子——服务
所有者/位置
资产编他资产例子1
序号 资产类别 资产名称 硬件 笔记本电脑
硬件 手机
硬件 U盘
硬件 硬件 硬件 硬件 硬件 硬件
传真机
电话 扫描打印一 体机 热熔机
路由器
上网猫
硬件 投影仪
硬件 照相机
资产编号 所在位置 责任人 是否重要信息资产及理由 备注
是;公司电脑共享上网
是;公司上网用 是;公司例会,顾问去客 户那里讲课用 是;客户启动大会拍照用
其他资产例子2
资产编码
资产名称
类别
位置
用途 应用情况
EB-DOC-010 OA源代码
数据 192.168.0.5
所有者/位置 财务 物流 市场&销售 财务 财务 财务 区域经理 物流 市场&销售 财务 财务 财务 市场&销售
资产编号
退税 信件 信件 公司介绍 外包服务合同 快信投寄单 供应商清单 客户信息 个人文件
资产
资产例子——纸质文件
所有者/位置 财务 财务 市场&销售 财务 物流 物流 物流 市场&销售 市场&销售
资产例子——信息资产
所有者/位置 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 市场&销售 服务器 市场&销售
资产编号
资产 供应商合同 供应商合同 供应商合同 财务合同 预算 销售合同(信用卡) 销售合同(信用卡) 销售合同 销售合同 银行声明 账单 合同发票 客户信息
资产例子——纸质文件
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售 财务×3 物流×5 市场&销售×2 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 市场&销售×2
资产编号
资产 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 金碟财务软件 PC Anywhere远程监控 PC Anywhere远程监控 PC Anywhere远程监控 金碟K3仓储软件 Pretty Good Privacy
资产编号
调制解调器 调制解调器 激光打印机 激光打印机 复印机 笔记本电脑 网络集中器 以太网卡 以太网卡 以太网卡 磁带驱动器 备份磁带 DVD刻录机 存档CD/DVD
资产
资产例子——实体资产
所有者/位置 货仓 服务器 物流 货仓 物流 总经理 网络×2 市场&销售×2 物流×5 财务×3 服务器 服务器×3 服务器 服务器
脆弱性(Vulnerability)可能会被一个或多个威 胁所利用的资产或一组资产的弱点
风险分析原理
资产识别 脆弱性识别
威胁识别
价值 严重程度 出现的频率
损失 可能性
风险值
资产识别与分类
数据
存在信息媒介上的各种数据资料,包括源代码、数据 库数据、系统文档、运行管理规程、计划、报告、用 户手册等
资产编号
资产 Windows98 operating system Windows98 operating system Windows98 operating system Windows98 operating system Microsoft Word 2000 Microsoft Word 2000 Microsoft Word 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 货仓 服务器 市场&销售 货仓 服务器
资产编号
桌上个人电脑 桌上个人电脑 桌上个人电脑 桌上个人电脑 电话 电话 电话 电话 传真机 保险箱 储藏柜 储藏柜 储藏柜 计算器
资产
资产例子——实体资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 货仓 市场&销售×3 物流 财务 财务×2 物流×3 市场&销售×3 财务×3
软件 系统软件、应用软件、源程序、数据库等
硬件 文档 人员
网络设备、计算机设备、存储设备、移动存储设备、 传输线路、保障设备、安全保障设备、其他电子设备 等
纸质的各种文件、传真、电报、财务报告、发展计划 等
各级人员
服务 办公服务、网络服务、信息服务等
资产 薪资方案表 采购合同表-供应商 采购合同表-订约人 区域销售合同 股票控制记录 销售合同-Access数据库 供应商清单-Access数据库 金碟财务记录 销售代理清单 邮件 培训资料