返回
信息安全培训教程 第11章 信息安全风险管理与评估

信息安全培训教程 第11章 信息安全风险管理与评估

ID:41510315

大小:129.50 KB

页数:30页

时间:2019-08-26

信息安全培训教程 第11章 信息安全风险管理与评估_第1页
信息安全培训教程 第11章 信息安全风险管理与评估_第2页
信息安全培训教程 第11章 信息安全风险管理与评估_第3页
信息安全培训教程 第11章 信息安全风险管理与评估_第4页
信息安全培训教程 第11章 信息安全风险管理与评估_第5页
资源描述:

《信息安全培训教程 第11章 信息安全风险管理与评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章信息安全风险管理与评估第11章信息安全风险管理与评估11.1风险管理概述无论是政府还是企业,对于自身的信息安全都非常重视。在这个数字化的时代,当某个组织或企业为了更好地支持其业务而使用自动化信息技术系统处理其信息时,风险管理就在保护该机构的信息资产,或者说其任务远离和IT相关的风险中扮演着关键的角色。第11章信息安全风险管理与评估有效的风险管理过程是一个成功的IT安全规划中的重要组成部分。一个组织的风险管理过程中,最关键的目标应该是保护组织以及组织完成其任务的能力,而不仅仅是其IT资产。而应该是组织的一项实质管理行为。第11章信息安全风险管

2、理与评估11.1风险管理概述风险是对系统弱点进行利用后产生的负面的影响,包括这种影响的可能性和已经发生的影响。风险管理是识别风险、评估风险以及采取步骤降低风险到可接受范围内过程。风险是指在某个特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。第11章信息安全风险管理与评估11.2风险管理的过程风险管理在项目管理中有非常重要的地位,具体来说其重要性表现在以下几个方面:(1)有效的风险管理可以提高项目的成功率。(2)提高对风险制定对策,就可以在风险发生时迅速作

3、出反应,避免忙中出错,造成更大的损失。(3)风险管理可以增加团队的健壮性(4)有效的风险管理可以帮助项目经理抓住工作重点第11章信息安全风险管理与评估11.2.1风险识别风险识别过程的活动是将不确定性转变为明确的风险概述。包括以下几个方面:(1)进行风险评估。(2)系统地识别风险(3)将已知编写为文档。(4)交流已知风险第11章信息安全风险管理与评估11.2.2风险分析风险分析过程的活动是将风险陈述转变为按优先顺序排列为风险的列表。(1)确定风险的驱动因素(2)分析风险来源(3)预测风险影响(4)对风险按照风险影响进行优先排序,优先级特别高的风险优

4、先处理第11章信息安全风险管理与评估11.2.3风险计划风险计划过程活动是将按优先级排列的风险列表转变为风险应对计划。(1)制定风险应对策略。风险应对策略有接受、避免、保护、减少、研究、储备和转移几种方式。(2)制定风险行动步骤。风险行动步骤详细说明了所选择的风险应对途径第11章信息安全风险管理与评估11.2.4风险跟踪风险跟踪过程包括的活动包括监视风险状态以及发出通知启动风险应对行动,包括以下内容:(1)比较阈值和状态通过项目控制面板获取。(2)对启动风险进行及时通告(3)定期通报风险的情况第11章信息安全风险管理与评估11.2.5风险应对风险应

5、对过程的活动是执行风险行动计划,以求将风险降至可接受程度,包括内容:(1)对触发事件的通知作出反应(2)执行风险行动计划(3)对照计划,报告进展(4)校正偏离计划的情况第11章信息安全风险管理与评估11.3风险评估概述11.3.1风险评估简介当前,无论是政府还是企业,对于自身的信息安全都非常重视。因此,企业信息安全风险评估再一次引起了业界的关注。第11章信息安全风险管理与评估风险的概念风险(Risk)指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合

6、。ISO27001要求组织通过风险评估来识别组织的潜在风险及其大小,并按照风险的大小安排控制措施的优先等级。第11章信息安全风险管理与评估风险评估(RiskAssessment)有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评

7、估来衡量。风险评估是在一定范围内识别所存在信息安全风险,并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢,将有限的信息安全预算应用到最需要的地方,风险评估是风险管理的前提。长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算投入到安全产品的采购上。第11章信息安全风险管理与评估但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐

8、患靠产品难以消除。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。根据信息产业部披

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。