风险评估与管理风险评估与管理1概念解析概念解析1-风险概念解析1-风险（续）概念解析2-风险管理概念解析2-风险管理概念解析3-风险评估概念解析3-风险评估（续）概念解析4-风险分析概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析4-风险分析（续）概念解析5-风险评价概念解析5-风险评价（续）概念解析6-风险处理概念解析6-风险处理（续）概念解析6-风险处理（续）概念解析–与过程相关概念小结概念解析7-资产概念解析7-资产（续）概念解析7-资产（续）威胁(threat)威胁是一个单位的信息资产的安全可能受到的侵害。ISO17799将威胁定义为对组织造成潜在影响的原因。NISTSP800-30将威胁定义为可能对系统造成损害的事件或实体。概念解析8-威胁（续）概念解析8-威胁（续）概念解析8-威胁（续）概念解析8-威胁（续）概念解析9-脆弱性概念解析9-脆弱性（续）概念解析9-脆弱性（续）概念解析9-脆弱性（续）概念解析10-防护措施概念解析-与要素相关概念小结风险评估与管理2信息安全风险管理的一般过程2.1信息安全风险评估的过程2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.1信息安全风险评估的过程(续)2.2信息安全风险处理的过程2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）2.2信息安全风险处理的过程（续）风险评估与管理3风险评估与风险管理的其它问题3.1风险评估的脚色和责任基本风险评估方法基本的风险评估是只利用直接和简单的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。详细风险评估方法详细的风险评估就是对资产、威胁和脆弱性进行详细的识别与评价，详细的风险评估结果被用于风险评估和安全控制措施的识别和选择。3.2风险评估方法(续)3.3风险评估工具3.3风险评估工具（续）根据评估方与被评估方的关系，他们和信息资产的关系分为：自评估是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。检查评估由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构（国家建立的测评认证机构或安全企业）实施的评估活动。3.4风险评估与等级保护、认证认可关系一次成功的风险管理计划取决于：高层管理部门的支持；信息团队的全力支持与参与；风险评估团队的能力；用户的意识和合作；对与信息相关的使命风险进行持续的评价和评估。