返回
信息安全风险评估与风险管理

信息安全风险评估与风险管理

ID:39459843

大小:1.33 MB

页数:75页

时间:2019-07-03

信息安全风险评估与风险管理_第1页
信息安全风险评估与风险管理_第2页
信息安全风险评估与风险管理_第3页
信息安全风险评估与风险管理_第4页
信息安全风险评估与风险管理_第5页
资源描述:

《信息安全风险评估与风险管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险评估与风险管理一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录信息安全的定义机密性(integrity):确保该信息仅对已授权访问的人们才可访问只有拥有者许可,才可被其他人访问完整性(confidentiality):保护信息及处理方法的准确性和完备性;不因人为的因素改变原有的内容,保证不被非法改动和销毁可用性(availability):当要求时,即可使用信息和相关资产。不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他:可控性、可审查性KeywordsI信息安全:信息的

2、保密性、完整性、可用性的保持。风险评估:对信息和信息处理设施的威胁,影响和薄弱点以及威胁发生的可能性的评估。风险管理:以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁:是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。

3、风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估,能够清晰地了解当前所面临的安全风险,清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据信息系统风险模型所有者攻击者对策漏洞风险威胁资产风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录国外相关信息安全风险评估标准简介(1)

4、ISO27001:信息安全管理体系规范、ISO17799信息安全管理实践指南基于风险管理的理念,提出了11个控制大类、34个控制目标和133个控制措施;提出风险评估的要求,并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE:OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大学软件工程研究所(CMU/SEI)开发的一种综合的、系统的信息安全风险评估方法3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略

5、。OCTAVE实施指南(OCTAVESMCatalogofPractices,Version2.0),该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。AS/NZS4360:1999风险管理澳大利亚和新西兰联合开发的风险管理标准将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南提出了风险评估的方法、步骤和主要内容。主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等

6、过程。NISTSP800-30:信息技术系统风险管理指南提出了风险评估的方法论和一般原则,风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。国外相关信息安全风险评估标准简介(2)我国信息安全风险评估标准发展历程2001年,随着GB/T18336的正式发布,从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年,国务院信息化办公室成立了风险评估研究课题组,对风险评估相关问题进行研究。2004年,提出了《信息安全风险评估指南》标准草案,其规定了风险评估的一些内容和流程,基本与S

7、P800-30中的内容一致。2005年,国信办在全国4个省市和3个行业进行风险评估的试点工作,根据试点结果对《信息安全风险评估指南》进行了修改。2005~2006年,通过了国家标准立项的一系列程序,目前已进入正式发布阶段。正式定名为:信息技术信息安全风险评估规范。《信息安全风险评估规范》标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施资产识别脆弱性识别威胁识别已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录标准内容:引言提出了风险评估的作用、定位及目的。作用:过对信息系统的资产、面临威胁、存在的脆弱性、采用的

8、安全控制措

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。