第二章 风险管理

• 风险管理(评估风险、应对风险和监测风险)
• 供应链风险管理
• 业务持续

2.1 风险管理概念

2.1.1 全面风险管理

2.1.2 信息系统风险管理策略

2.1.3 风险管理团队

2.1.4 风险管理流程

2.1.5 漏洞和威胁概述

1.漏洞

1)信息(Information)

2)流程(Process)

3)人员

2.威胁

1)网络犯罪分子

2)民族国家行为方

3)激进黑客主义分子

4)内部行为方

5)自然灾难

2.1.6 识别威胁和漏洞

2.2 风险评估

2.2.1 资产评估

2.2.2 风险评估团队

2.2.3 风险评估方法论

• 如果要在全组织范围之内部署风险管理计划并集成到安全计划中，应该遵循OCTAVE(Operationally Critical Threat,Asset and Vulnerability Evaluation，运营关键威胁、资产和漏洞评价)方法。
• 如果需要在评估过程中重点关注IT安全风险，则可参照NIST SP800-30。
• 如果预算有限，且需要重点评估一个单独的系统或流程，则可参考FRAP(Facilitated Risk AnalysisProcess，简化风险分析流程)方法。
• 若要深入了解某个具体系统内的安全缺陷是如何造成衍生效应的，则可使用FMEA(Failure Modes and Effect Analysis，故障模式与影响分析)方法或故障树分析方法。

1.NIST SP 800-30

2.FRAP

3. OCTAVE

4.FMEA

5.故障树分析

2.2.4 风险分析方法

1.自动风险分析方法

2.定量风险分析的步骤

3.定量风险分析的结果

2.2.5 定性风险分析

2.3 应对风险

2.3.1 总体风险与残余风险的对比

2.3.2 安全对策选择及实施

2.3.3 控制措施类型

2.3.4 控制措施评估

2.4 监测风险

2.4.1 有效性监测

2.4.2 变更监测

2.4.3 合规性监测

2.4.4 风险报告

2.5 供应链风险管理

2.5.1 上下游供应商

2.5.2 硬件、软件、服务的风险评估

1.硬件风险

2.软件风险

3.服务风险

2.5.3 其他第三方风险

2.5.4 最低安全需求

• 数据保护 积极的网络安全措施
• 事故响应 事件触发的网络安全措施
• 确认方法 客户确认上述要求的方式

2.5.5服务水平协议

2.6业务持续

2.6.1 标准和最佳实践

2.6.2将业务持续管理融入企业安全计划

2.6.3 业务影响分析

2.8 快速提示

2.9 问题