信息系统安全风险分析内容提要为什么需要风险分析信息系统的发展和基本要求员工和客户访问资源信息系统的风险管理资产面临风险是必然的信息安全如何做风险避免，风险降低，风险转移，风险接受安全的风险管理风险相关术语风险相关术语资产影响威胁脆弱性风险风险分析风险管理风险评估概述安全评估与风险评估风险评估目的风险评估内容风险评估内容——物理层安全风险评估内容——系统层安全风险评估内容——网络层安全风险评估内容——应用层安全风险评估内容——管理层安全风险评估原则依据的标准和模型评估依据的标准和规范评估依据的模型项目主导模型安全体系生命周期模型安全风险模型风险计算模型风险矩阵法综合相乘法安全体系模型安全工程模型风险评估的流程风险评估流程确定风险评估范围确定评估范围资产的识别与估价威胁评估确定威胁的属性是风险评估的重要环节，组织应根据经验和（或）有关的统计数据来判断威胁发生的频率或者发生的概率。用于威胁评估的信息能够从信息安全管理的有关人员，以及相关的商业过程中获得，这些人可能是人事部的职员、设备策划和IT专家，也包括组织内部负责安全的人员。IDS入侵检测数据的采样获取。脆弱性评估脆弱性数据来源风险分析风险管理风险评估的方法主要评估方法评估工具工具扫描工具扫描工具扫描渗透测试人工检查主机人工检查结果IDS采样分析网络架构分析调查对象网络系统管理员、安全管理员、技术负责人等调查内容业务、资产、威胁、脆弱性（管理方面）设计原则完整性具体性简洁性一致性问卷调查样例访谈对象安全管理员、技术负责人、网络系统管理员等访谈内容确认问卷调查结果详细获取管理执行现状听取用户想法和意见顾问访谈样例安全策略分析评估工程实施评估组织人员评估工程阶段评估工作配合质量保证和管理评估结果的输出评估验收评估的相关问题评估后的相关工作评估应注意的问题评估过程中风险的规避风险评估的类型风险评估的操作形式谢谢！