action

风险处置策略：

降低风险：实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响

规避风险：有时，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。

转嫁风险：将风险全部或部分地转移第三方外包，找相关行业其他第三方进行。

接受风险：实施了其他风险应对措施之后，对于残留风险，组织可以选择接受。所谓的无作为。

确定风险可接受水平原则

选择降低的原则，成本效益原则。若是监管方面的是打破成本效益原则的

风险控制措施类别

从针对性和实施方式来看，包括

管理性

操作性

技术性

从功能来看，控制措施包括

威胁性

预防性

检测性

纠正性

评价残余风险

绝对安全是不可能

实施安全控制后有残留风险或残存风险

为了确保信息安全，残留风险在可接受的范围内：

残留风险Rr=原有风险R0-控制R

对残余风险进行确认和评价的过程，其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阈值，以阈值作为是否接受残余风险的标准。

实施安全控制后会有残留风险在可接受范围

定量与定性评估。

定量：

定性：人主观意识上判断风险大小高低，同时也是一个缺点。方式较为简单。

识别信息资产

根据不同资产的进行分类：

信息资产分类：

1、人员：承担责任角色

所有者：部门指定责任人

保管者：个人电脑责任人或企业的运维支持人员

使用者：最终用户

2、信息：文件、文档、资料

3、硬件：服务器、PC机

4、软件：

5、环境设施：硬件保障设施

6、服务：第三方组织提供服务

7、无形：专利、产权

风险评价   矩阵法

降低   规避   转嫁  可接受

成本效益原则  不适合政府部门

风险评估是定性分析，不是定量的，最终还是落实到高中低

流程弱点、政策

技术设计与实现

软件漏洞等方面

信息资产所面临的弱点分析：

17799

业内最佳实践

行业经验

自动化工具

识别现有控制措施

信息资产

可以接受的风险叫做残余风险和残留风险

AS4360 风险管理框架

27005 信息安全风险管理框架

ALE：计算风险的年预期损失

ARO：年发生率

SLE：单一风险预期损失

27001标准家族

27000 术语和词汇汇总

27001 管理要求

27002 最早的iso17799   实用规则

27003 实施指南

27004 测量标准    启发

27005 风险管理  信息安全工作开展的基础

27006/27007 认证机构要求和审计指南

iso guide 83 国际标准未来框架

PDCA  戴明环

P（组织环境 领导力  策划 支持）D(  运行  ）C（绩效评价）A（  改进）

通信：网络层面   操作：日常运维  供应商管理

27001认证流程

信息本身是无形的，需借助媒介传播

对企业有价值的是资产，

信息安全目标   CIA   保密性   完整性   可用性

扩展目标    真实性   可追溯性  防抵赖

合规性和保护个人隐私

可用性  在允许时间范围内可用  

信息安全管理工作内容都包括哪些？

该如何开展？？

2013  14个方面

1、安全策略

2、组织信息安全

3、安全的核心内容：资产、访问控制、

4、人力资源安全

5、物理安全  逻辑安全 环境安全 操作安全  通信安全  系统的获取、开发和维护

soa 适用性说明

ALE：Annual Risk Expectancy年预期损失

 --ARO：Annual Rate of occurrence年发生率

 --SLE：Single loss expectancy单一风险预期损失

计算风险的年预期损失

ALE=ARP*SLE

项目实施效果

评价残余风险

控制策略bian'x'ji

风险不发生

发生的范围

发生的处理

威胁 弱点  可能性  影响 安全措施  

残留分险

1.已做完安全措施，可以接受的风险才是残留风险。

2.风险管理标准：

AS4360

ISO27005

3.控制策略：

四大类

4.定量风险评估：有弊端

ALE=ARO*SLE

SLE：单一风险预期损失

ARO：年发生率

英国标准协会：BSI-Britsh Standards Institution

BS7799,在2005年被ISO吸收后转化为ISO27001标准。http://wenku.baidu.com/link?url=k9vsTPRiAodPCqi9yCdVbwfSQpuRAOKjQcSj_NXCeRvwif5_024OPFsT5nyJ5G_t31RPYrgeJnjokZ-qJoKQO1OOkK716rG27BP4sjipYN_

2700X是ISO信息安全标准家族。6分24秒

27002---ISO17799

27003-27001实施指南。

2013版，114个控制措施。

信息：结组与各类媒体以多种形式存在或传播的数据、消息、情报、信号和知识。

信息资产：对于企业来说有价值的信息。

信息安全：

基本安全目标-CIA：保密性、完整性、可用性。

扩展安全目标（ISO/IEC 13335 etc.）：

真实性、可追溯性、抗抵赖、可靠性、合规性、保护个人隐私。

完整性是机密性和可用性的前提。

信息安全的实质：确保组织业务能够持续有效的运行。

信息安全管理内容框架

信息系统获取、开发与维护。

安全策略：各业务部门提出需求，领导层批准。

组织信息安全：整个组织统筹。

资产管理：按需

访问控制：身份识别、权限分配涉及各业务部门。