返回
ISMS-4-信息安全风险评估与管理

ISMS-4-信息安全风险评估与管理

ID:44229164

大小:1.70 MB

页数:132页

时间:2019-10-19

ISMS-4-信息安全风险评估与管理_第1页
ISMS-4-信息安全风险评估与管理_第2页
ISMS-4-信息安全风险评估与管理_第3页
ISMS-4-信息安全风险评估与管理_第4页
ISMS-4-信息安全风险评估与管理_第5页
资源描述:

《ISMS-4-信息安全风险评估与管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险评估与管理PKSEC北京知识安全工程中心1.概念解析2.风险和风险管理的一般过程3.信息安全风险管理模型4.27001中风险管理的要求5.信息安全风险管理方法课程内容1概念解析与过程相关的概念风险风险管理风险评估风险分析风险评价风险处理资产威胁脆弱性防护措施与要素相关的概念风险是什么?中国有句古话:“天有不测风云,人有旦夕祸福”1.1风险关于风险几个描述中石油吉化公司双苯厂发生爆炸,污染松花江水质,给下游城市带来严重的水危机目前环境下投资股票比投资国债风险要大人身意外伤害保险频繁的黑客活动给网上银行带来很大的风险内部人员的误操作和恶意侵害是银行最大信息不安全1.1

2、风险不利事件不利事件发生的条件不利事件发生的可能性不利事件的影响风险的定义1.1风险金山词霸2005:美国传统词典Thepossibilityofsufferingharmorloss;danger.遭受损害或损失的可能性;危险风险的定义1.1风险辞海:上海辞书出版社,1989年风险:是指人们在生产建设和日常生活中遭遇可能导致人身伤亡、财产受损及其它经济损失的自然灾害、意外事故和其它不测事件的可能性。AS/NZS4360:澳大利亚/新西兰国家标准:风险:对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。Risk:thechanceofsomethinghappen

3、ingthatwillhaveonimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.1.1风险风险的定义1.1风险ISOGuide73:2002(RiskManagement–Vocabulary–Guidelinesforuseinstandards)risk:combinationoftheprobabilityofaneventanditsconsequence事件的可能性及其后果的组合。注1:通常,只有至少存在产生不利结果可能性的情况下才使用“风险”术语。注2:在某些情况下,风险是由偏

4、离期望的结果或事件的可能性引起的。ISO/IECTR13335-1:1996安全风险:是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.1.1风险后果Consequence以定性或定量方式表示的一个事件的结果,可以是损害、伤害、失利或获利。可能性Likelihood用作对几率或频率的定性描述。几率Probability以事件或结果与

5、可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。频率Frequency以规定时间内所发生的次数来表达的事件发生率的度量。与风险有关的名词:1.1风险风险(risk)风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言:两种因素造成对其使命的实际影响:(1)一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率;(2)上述事件发生之后所带来的影响。1.1风险风险管理的概念1.2风险管理ISOGuide73:2002(RiskManagement–Vocabulary–Guidelinesforuseinsta

6、ndards)riskmanagement:coordinatedactivitiestodirectandcontrolanorganizationwithregardtorisk.在风险方面指挥和控制组织的协同活动。注:风险管理一般包括风险评估、风险处理、风险接受和沟通。风险管理的概念1.2风险管理Wikipedia维基百科-自由、开发的百科全书风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的

7、事情则压后处理。理想的风险管理,正希望能够花最少的资源去尽可能化解最大的危机。风险管理的概念1.2风险管理PeterL.Bernstein,《与上帝做对:风险的非凡经历》,1996年   “一个具有革命意义的看法是,对风险的掌握程度是划分现代和过去时代的分水岭:所谓对风险的掌握就是说未来不再更多地依赖上帝的安排,人类在自然面前不再是被动的。在人们发现跨越这个分水岭的道路之前,未来只是过去的镜子,或者是属于那些垄断了对未来事件进行预测的圣贤和占扑者的黑暗领地。”   “风险管理有助于我们在非常

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。