信息安全风险评估论方法介绍(28页).ppt
已下载:3 次 是否免费: 否 上传时间:2017-08-31
风险管理概念
内容
风险评估方法
对旧版方法论的改进
什么是风险
风险:不确定性对目标的影响。 ——ISO31000:2009 风险管理就是要在发掘业务机会的同时管控不确定性。
风险管理的几个重要概念
风险评估:
风险识别、风险分析以及风险评价的整个过程。风险处置:修正风险的过程。
风险控制:修正风险的措施。残余风险:是指经过风险处理后仍剩余的风险。
风险管理模型
风险管理模型(ISO 31000)
构建环境
风险识别
风险分析
风险评价
风险处置
沟通与协商
监控与评审
ISO27001:2013 第4章
ISO27001:2013 第9章
ISO27001:2013 第7章
ISO27001:2013 第6.1.3节
ISO27001:2013 第6.1.2节
风险管理概念
内容
风险评估方法
对旧版方法论的改进
选择风险评估方法
根据 ISO27001:2013 标准,风险评估采用何种方法不作要求,只要能识别出风险即可。在IT管理领域,可采用的常见评估方法:影响度/可能性分析:针对特定的系统、服务或管理领域梳理风险场景,分析风险发生导致后果造成的影响程度,以及该风险发生的概率(可能性);