版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信息資產(chǎn)風(fēng)險(xiǎn)控制管理一、概述/f=息資產(chǎn)風(fēng)險(xiǎn)控制管理是當(dāng)前信III息安全管理的基礎(chǔ)工作,其基本目標(biāo)是實(shí)現(xiàn)用戶的信息資產(chǎn)的全面風(fēng)險(xiǎn)控制管理,確保用戶信息資產(chǎn)的可靠、安全、高效運(yùn)行。并通過(guò)如下方面的工作來(lái)實(shí)現(xiàn)這一基本目標(biāo):信息資產(chǎn)的基本信息管理與評(píng)估:信息資產(chǎn)的基本信息管理是整個(gè)系統(tǒng)最基礎(chǔ)數(shù)據(jù)源的管理;信息資產(chǎn)的評(píng)估是對(duì)信息資產(chǎn)在用戶的整個(gè)信息化建設(shè)和用戶日常工作影響的重要性評(píng)估。事件管理:事件管理是對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過(guò)程中,運(yùn)行狀態(tài)分
2、析、已經(jīng)發(fā)生的安全事件的過(guò)程式管理。脆弱性管理:脆弱洼管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、可靠、高效運(yùn)行中可能存在的脆弱點(diǎn)的全面管理。威脅性管理:威脅性管理是對(duì)用戶整個(gè)信息系統(tǒng)安全、可靠、高效運(yùn)行中可能面臨的安全威脅的全面管理。風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)評(píng)估是針對(duì)用戶信息系統(tǒng)存在的安全風(fēng)險(xiǎn)的綜合評(píng)定??刂拼胧┕芾恚嚎刂拼胧┕芾硎菍?duì)用戶針對(duì)所有信息資產(chǎn)、信息系統(tǒng)所采取的安全保障措施的全面管理。安全等級(jí)評(píng)定:就是參考國(guó)家安全等級(jí)保護(hù)制度的安全等級(jí)評(píng)定標(biāo)準(zhǔn),給
3、出用戶當(dāng)前實(shí)際達(dá)到的安全等級(jí)。風(fēng)險(xiǎn)控制報(bào)告:風(fēng)險(xiǎn)控制報(bào)告是依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和用戶期望的安全保護(hù)等級(jí)或其他要求提出全面的安全風(fēng)險(xiǎn)如文/北京理工大學(xué)軟件學(xué)院張劍何控制的報(bào)告,至少包括必控措施、等級(jí)保護(hù)要求措施、建議措施等方面。二、信息資產(chǎn)的基本信息管理與評(píng)估信息資產(chǎn)的基本信息管理需要對(duì)用戶的信息資產(chǎn)進(jìn)行全面細(xì)致的管理,信息資產(chǎn)的評(píng)估需要對(duì)信息資產(chǎn)在用戶的整個(gè)信息化建設(shè)和用戶日常工作影響的重要性作出準(zhǔn)確的評(píng)估。信息資產(chǎn)的基本信息管理包括:信息
4、資產(chǎn)分類管理、信息資產(chǎn)的基本信息管理、信息資產(chǎn)活動(dòng)狀態(tài)管理等。信息資產(chǎn)的基本評(píng)估包括:分類資產(chǎn)權(quán)重管理、信息資產(chǎn)重要度評(píng)估管理、資產(chǎn)的安全維護(hù)。1信息資產(chǎn)分類管理。系統(tǒng)管理的基本內(nèi)容之一,負(fù)責(zé)信息資產(chǎn)的標(biāo)準(zhǔn)分類,這里需要考慮的是國(guó)際標(biāo)準(zhǔn)分類、國(guó)家標(biāo)準(zhǔn)分類、行業(yè)標(biāo)準(zhǔn)分類、用戶自主分類四種基本情況,其中國(guó)際、國(guó)家標(biāo)準(zhǔn)分類是系統(tǒng)開(kāi)發(fā)建設(shè)者提供,并可以不斷更新;行業(yè)標(biāo)準(zhǔn)分類這里我們建議不要采用,如一定需要采用,由用戶自行維護(hù);用戶自主分類由用戶
5、自主維護(hù),但需要建立與國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)的一一對(duì)應(yīng)關(guān)系,擴(kuò)展部分依據(jù)合理的原則(預(yù)先系統(tǒng)確定的原則)進(jìn)行維護(hù)。信息資產(chǎn)分類采取目錄樹(shù)方式進(jìn)行,樹(shù)葉的粒度可以到資產(chǎn)的部件(如服務(wù)器可以到硬盤(pán)、顯示器,軟件可以到功能模塊,人到其擁有的各種角色,文件到關(guān)鍵數(shù)據(jù),數(shù)據(jù)庫(kù)可以到表的字段等)。系統(tǒng)提供的國(guó)際標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)往往是作為參考標(biāo)準(zhǔn),通常系統(tǒng)在進(jìn)行信息資產(chǎn)的基本信息管理、活動(dòng)狀態(tài)管理都是采取用戶自主分類進(jìn)行。無(wú)論采取什么分類,在系統(tǒng)中需要由用
6、戶指定所采用的信息資產(chǎn)分類標(biāo)準(zhǔn)。2信息資產(chǎn)的基本信息管理。信息資產(chǎn)的基本信息管理是系統(tǒng)的基礎(chǔ)資產(chǎn)信息,需要全面記錄資產(chǎn)的情況,包括資產(chǎn)所有權(quán)、資產(chǎn)生產(chǎn)者、資產(chǎn)使用者、資產(chǎn)獲得者、資產(chǎn)功能、性能、資產(chǎn)部署地、多種時(shí)間因素、價(jià)值、量級(jí)、密級(jí)等,這些信息能夠?qū)崿F(xiàn)分布式、流程式錄入或?qū)彾ù_認(rèn)等。信息資產(chǎn)的基本信息管理應(yīng)該與資產(chǎn)分類掛鉤,如為資產(chǎn)分類中沒(méi)有的應(yīng)該先進(jìn)行資產(chǎn)分類登記(要充分考慮維護(hù)者的方便性)。所有信息資產(chǎn)應(yīng)該針對(duì)各種屬洼提供靈活的
7、查詢與基本統(tǒng)計(jì)(除固定格式的輸出外,應(yīng)該能夠提供全面的基礎(chǔ)統(tǒng)計(jì),選擇性的輸出),供各類管理人員使用。3信息資產(chǎn)活動(dòng)狀態(tài)管理。風(fēng)險(xiǎn)評(píng)估中的重要環(huán)節(jié),是實(shí)現(xiàn)動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估和采取防范措施的對(duì)象基礎(chǔ)和信息基礎(chǔ)。信息資產(chǎn)活動(dòng)狀態(tài)管理首先需要針對(duì)用戶所有信息資產(chǎn)的實(shí)際狀態(tài)進(jìn)行真實(shí)的記錄,再就是要對(duì)信息資產(chǎn)的配置信息(如服務(wù)器的各種配置參數(shù),尤其是長(zhǎng)時(shí)間不變化的參數(shù),數(shù)據(jù)文件的存儲(chǔ)、安全控制、格式信息,人員的角色、授權(quán)、身份、密碼、密鑰等)進(jìn)行維普
8、資訊有效管理。結(jié)合信息資產(chǎn)的基本信息與活動(dòng)狀態(tài)信息提供動(dòng)態(tài)的資產(chǎn)報(bào)告,和資產(chǎn)使用狀態(tài)預(yù)警(這里不是系統(tǒng)的安全預(yù)警,如過(guò)期、閑置、不受控等)。所有信息資產(chǎn)的活動(dòng)狀態(tài)都可以提供靈活的查詢與基本統(tǒng)計(jì),供各類管理人員使用。4分類資產(chǎn)權(quán)重管理。分類資產(chǎn)權(quán)重管理是對(duì)各類信息資產(chǎn)在信息系統(tǒng)中對(duì)安全影響的重要程度的一種描述,采取開(kāi)發(fā)者集中維護(hù),維護(hù)依據(jù)國(guó)家標(biāo)準(zhǔn)分類(或稱開(kāi)發(fā)者標(biāo)準(zhǔn)分類)進(jìn)行的通用權(quán)重原則,用戶可以采取自動(dòng)更新的方法更新此庫(kù)。用戶(或服務(wù)
9、提供商)需要依據(jù)應(yīng)用環(huán)境的實(shí)際情況,確定最終的系統(tǒng)應(yīng)用權(quán)重標(biāo)準(zhǔn),用戶在維護(hù)自主分類的標(biāo)準(zhǔn)時(shí),針對(duì)每一分類可以選擇分類資產(chǎn)權(quán)重產(chǎn)生依據(jù)(如等同國(guó)標(biāo)分類權(quán)重、自主維護(hù)權(quán)重),如為等同權(quán)重則在系統(tǒng)自動(dòng)更新時(shí)一并更新,否則,系統(tǒng)的自動(dòng)更新不影響用戶自維護(hù)的權(quán)重部分。5信息資產(chǎn)重要度評(píng)估管理。信息資產(chǎn)重要度評(píng)估的目的是產(chǎn)生信息資產(chǎn)基礎(chǔ)狀態(tài)評(píng)估報(bào)告中的最重要指標(biāo),其評(píng)估方式采取多因素評(píng)估方式進(jìn)行,因素應(yīng)從信息資產(chǎn)的基本信息管理中選擇(并考慮活動(dòng)狀態(tài)
10、的影響),各類因素在重要度評(píng)估中所占的權(quán)重在給定參考范圍的基礎(chǔ)上,由用戶進(jìn)行維護(hù)。6信息安全維護(hù)。信息資產(chǎn)的安全維護(hù)是整個(gè)安全管理十分重要的環(huán)節(jié),更是實(shí)現(xiàn)整個(gè)安全保障體系運(yùn)行成功的關(guān)鍵,在信息資產(chǎn)活動(dòng)狀態(tài)管理和下面事件管理的基礎(chǔ)上實(shí)現(xiàn)信息資產(chǎn)安全維護(hù)提示(如依據(jù)風(fēng)險(xiǎn)分析情況及時(shí)給出維護(hù)提示、依據(jù)動(dòng)態(tài)發(fā)生的情況所關(guān)聯(lián)的資產(chǎn)關(guān)系提示維護(hù)),安全管理員依據(jù)提示,結(jié)合自身的經(jīng)驗(yàn)進(jìn)行信息資產(chǎn)維護(hù)。由于信息資產(chǎn)維護(hù)是整個(gè)系統(tǒng)中的一個(gè)重要環(huán)節(jié),要建立
11、動(dòng)態(tài)的安全防護(hù)體系,維護(hù)過(guò)程本身的管理是不可缺少的內(nèi)容。也就是說(shuō)需要將信息資產(chǎn)的配置管理與控制措施管理動(dòng)態(tài)化。三事件管理事件管理需要對(duì)用戶整個(gè)信息系統(tǒng)運(yùn)行過(guò)程中,所有與安全相關(guān)的可進(jìn)行管理的事項(xiàng)進(jìn)行全方位的過(guò)程式管理,包括事件的模式管理、事件的發(fā)現(xiàn)、事件的報(bào)告、事件的處理、事件的影響評(píng)估、事件對(duì)系統(tǒng)知識(shí)庫(kù)的影響。1事件的模式管理。事件的模式管理是事件的描述管理,系統(tǒng)提供標(biāo)準(zhǔn)的事件模式庫(kù),包括事件編號(hào)、事件名稱、事件性質(zhì)、事件效用、事件對(duì)
12、安全影響的重要程度、事件描述的多種要素等。用戶可以維護(hù)自主的事件模式庫(kù),如等同采用標(biāo)準(zhǔn)事件庫(kù),需要在模式庫(kù)設(shè)置時(shí)選擇對(duì)應(yīng)的項(xiàng)目,以保證在系統(tǒng)自動(dòng)更新時(shí)事件模式庫(kù)可以自動(dòng)更新。2事件的發(fā)現(xiàn)。事件的發(fā)現(xiàn)在系統(tǒng)中將采取多渠道方式,不同的方式發(fā)現(xiàn)途徑不同,采取插件方式實(shí)現(xiàn),系統(tǒng)目前主要支持關(guān)鍵系統(tǒng)日志、入侵檢測(cè)、漏洞掃描、網(wǎng)管日志、人工發(fā)現(xiàn)等方式。事件發(fā)現(xiàn)的方式不同對(duì)應(yīng)的事件模式不同,尤其是事件的要素不同,由于同一類的發(fā)現(xiàn)方式不同用戶其采取的系
13、統(tǒng)可能是不同的,因此,為了便于采集需要維護(hù)好事件模式。事件的發(fā)現(xiàn)負(fù)責(zé)解決事件的采集問(wèn)題,這需要解決好事件的集中接收、事件的描述與傳輸協(xié)議問(wèn)題、事件的過(guò)濾問(wèn)題。3事件的報(bào)告。事件的報(bào)告是正式啟動(dòng)事件處理流程的起點(diǎn),是指事件管理者接收到事件報(bào)告,事件發(fā)現(xiàn)者(自動(dòng)發(fā)現(xiàn)、人工發(fā)現(xiàn))向系統(tǒng)提交正式的事件一一一一報(bào)告。事件管理者可以實(shí)時(shí)監(jiān)控所有報(bào)告的事件,自動(dòng)發(fā)現(xiàn)的事件通過(guò)集中接收并過(guò)濾后自動(dòng)提交給系統(tǒng),人工發(fā)現(xiàn)者通過(guò)填寫(xiě)事件報(bào)告單的方式將事件提交
14、給系統(tǒng),管理者將分類獲得監(jiān)控信息,監(jiān)控信息以分類列表方式展示,逐條信息可以展示詳細(xì)信息。所有展示的信息可以依據(jù)要素進(jìn)行分類排序統(tǒng)計(jì)(可以自定義時(shí)間段),有綜合的事件分析統(tǒng)計(jì)報(bào)告。4事件的處理。事件的處理是流程處理方式,依據(jù)事件的分類不同、等級(jí)不同采取不同的流程進(jìn)行處理,所有處理節(jié)點(diǎn)的處理情況均記錄在案。5事件的影響評(píng)估。事件的影響評(píng)估是依據(jù)預(yù)先確定的影響因素與影響評(píng)估模型來(lái)進(jìn)行。事件影響評(píng)估的影響因素與信息資產(chǎn)分類、信息資產(chǎn)活動(dòng)狀態(tài)、分
15、類資產(chǎn)權(quán)重、信息資產(chǎn)重要度評(píng)估等有關(guān)。這里需要研究對(duì)應(yīng)的評(píng)估模型(系統(tǒng)最終提供標(biāo)準(zhǔn)模型),建立相關(guān)因素的標(biāo)準(zhǔn)庫(kù),此庫(kù)同樣需要保證用戶的自主維護(hù)與系統(tǒng)更新的相融合問(wèn)題。6事件對(duì)系統(tǒng)知識(shí)庫(kù)的影響。事件對(duì)系統(tǒng)的分類資產(chǎn)權(quán)重庫(kù)、因素權(quán)重庫(kù)、分類資產(chǎn)威脅庫(kù)、分類資產(chǎn)脆弱性庫(kù)、分類資產(chǎn)控制措施庫(kù)、安全等級(jí)評(píng)定參考庫(kù)等知識(shí)是有直接影響的,它將動(dòng)態(tài)調(diào)節(jié)系統(tǒng)的這些知識(shí)庫(kù)用戶維護(hù)庫(kù)部分,并將形成影響報(bào)告單傳送給我們?cè)O(shè)立的知識(shí)庫(kù)維護(hù)中心,以便中心對(duì)標(biāo)準(zhǔn)知識(shí)庫(kù)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息資產(chǎn)風(fēng)險(xiǎn)控制與管理系統(tǒng)設(shè)計(jì).pdf
- 資產(chǎn)管理風(fēng)險(xiǎn)控制制度
- 資產(chǎn)管理風(fēng)險(xiǎn)控制制度
- 淺議企業(yè)資產(chǎn)管理的風(fēng)險(xiǎn)控制
- 資產(chǎn)管理公司的轉(zhuǎn)型風(fēng)險(xiǎn)及其控制
- 無(wú)形資產(chǎn)管理風(fēng)險(xiǎn)與關(guān)鍵點(diǎn)控制
- 固定資產(chǎn)管理風(fēng)險(xiǎn)與關(guān)鍵點(diǎn)控制
- 券商資產(chǎn)管理業(yè)務(wù)的風(fēng)險(xiǎn)控制研究.pdf
- 寶盈基金管理公司特定資產(chǎn)管理風(fēng)險(xiǎn)控制制度
- 資產(chǎn)管理主要風(fēng)險(xiǎn)
- 醫(yī)院資產(chǎn)管理中的風(fēng)險(xiǎn)控制措施分析
- 無(wú)形資產(chǎn)管理風(fēng)險(xiǎn)與關(guān)鍵點(diǎn)控制 (2)
- 固定資產(chǎn)管理風(fēng)險(xiǎn)與關(guān)鍵點(diǎn)控制 (2)
- 資產(chǎn)評(píng)估風(fēng)險(xiǎn)與控制.pdf
- 中國(guó)企業(yè)年金資產(chǎn)管理的風(fēng)險(xiǎn)控制.pdf
- 證券公司資產(chǎn)管理業(yè)務(wù)市場(chǎng)風(fēng)險(xiǎn)的控制.pdf
- 信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估表
- 固定資產(chǎn)管理風(fēng)險(xiǎn)
- 淺談企業(yè)風(fēng)險(xiǎn)資產(chǎn)管理
- 資產(chǎn)管理目標(biāo)、風(fēng)險(xiǎn)等等
評(píng)論
0/150
提交評(píng)論