資源描述:
《信息安全風(fēng)險評估與風(fēng)險管理》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、信息安全風(fēng)險評估與風(fēng)險管理一����、風(fēng)險評估中的概念及模型二、風(fēng)險評估標(biāo)準(zhǔn)三��、風(fēng)險評估流程與方法四�、風(fēng)險評估的輸出結(jié)果五、風(fēng)險管理六��、總結(jié)目錄信息安全的定義機(jī)密性(integrity):確保該信息僅對已授權(quán)訪問的人們才可訪問只有擁有者許可��,才可被其他人訪問完整性(confidentiality):保護(hù)信息及處理方法的準(zhǔn)確性和完備性�;不因人為的因素改變原有的內(nèi)容,保證不被非法改動和銷毀可用性(availability):當(dāng)要求時����,即可使用信息和相關(guān)資產(chǎn)。不因系統(tǒng)故障或誤操作使資源丟失�����。響應(yīng)時間要求�����、故障下的持續(xù)運行。其他:可控性�����、可審查性KeywordsI信息安全:信息的
2��、保密性�、完整性、可用性的保持��。風(fēng)險評估:對信息和信息處理設(shè)施的威脅��,影響和薄弱點以及威脅發(fā)生的可能性的評估���。風(fēng)險管理:以可接受的費用識別�����、控制�、降低或消除可能影響信息系統(tǒng)安全的風(fēng)險的過程�����。威脅:是指某個人���、物�����、事件或概念對某一資源的保密性�����、完整性��、可用性或合法使用所造成的危險���。KeywordII威脅(Threat):是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。薄弱點(Vulnerability):是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點��。風(fēng)險(Risk):特定的威脅利用資產(chǎn)的一種或一組薄弱點���,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性�,即特定威脅事件發(fā)生的可能性與后果的結(jié)合��。
3��、風(fēng)險評估的目的和意義認(rèn)識現(xiàn)有的資產(chǎn)及其價值對信息系統(tǒng)安全的各個方面的當(dāng)前潛在威脅�、弱點和影響進(jìn)行全面的評估通過安全評估�����,能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險�,清晰地了解信息系統(tǒng)的安全現(xiàn)狀明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的差距為下一步控制和降低安全風(fēng)險����、改善安全狀況提供客觀和翔實的依據(jù)信息系統(tǒng)風(fēng)險模型所有者攻擊者對策漏洞風(fēng)險威脅資產(chǎn)風(fēng)險計算依據(jù)價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風(fēng)險后果可能性難易程度嚴(yán)重性弱點可能性威脅影響一、風(fēng)險評估中的概念及模型二��、風(fēng)險評估標(biāo)準(zhǔn)三����、風(fēng)險評估流程與方法四、風(fēng)險評估的輸出結(jié)果五���、風(fēng)險管理六�、總結(jié)目錄國外相關(guān)信息安全風(fēng)險評估標(biāo)準(zhǔn)簡介(1)
4����、ISO27001:信息安全管理體系規(guī)范、ISO17799信息安全管理實踐指南基于風(fēng)險管理的理念��,提出了11個控制大類�����、34個控制目標(biāo)和133個控制措施;提出風(fēng)險評估的要求�,并未對適用于信息系統(tǒng)的風(fēng)險評估方法和管理方法做具體的描述。OCTAVE:OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大學(xué)軟件工程研究所(CMU/SEI)開發(fā)的一種綜合的�、系統(tǒng)的信息安全風(fēng)險評估方法3個階段8個過程。3個階段分別是建立企業(yè)范圍內(nèi)的安全需求���、識別基礎(chǔ)設(shè)施脆弱性、決定安全風(fēng)險管理策略
5���、���。OCTAVE實施指南(OCTAVESMCatalogofPractices,Version2.0),該實施指南闡述了具體的安全策略��、威脅輪廓和實施調(diào)查表���。AS/NZS4360:1999風(fēng)險管理澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險管理標(biāo)準(zhǔn)將對象定位在“信息系統(tǒng)”�;在資產(chǎn)識別和評估時�����,采取半定量化的方法,將威脅�����、風(fēng)險發(fā)生可能性����、造成的影響劃分為不同的等級。分為建立環(huán)境��、風(fēng)險識別��、風(fēng)險分析���、風(fēng)險評價���、風(fēng)險處置等步驟。ISO/IECTR13335信息技術(shù)安全管理指南提出了風(fēng)險評估的方法��、步驟和主要內(nèi)容����。主要步驟包括:資產(chǎn)識別、威脅識別、脆弱性識別����、已有控制措施確認(rèn)、風(fēng)險計算等
6��、過程����。NISTSP800-30:信息技術(shù)系統(tǒng)風(fēng)險管理指南提出了風(fēng)險評估的方法論和一般原則,風(fēng)險及風(fēng)險評估概念:風(fēng)險就是不利事件發(fā)生的可能性���。風(fēng)險管理是評估風(fēng)險、采取步驟將風(fēng)險消減到可接受的水平并且維持這一風(fēng)險級別的過程���。國外相關(guān)信息安全風(fēng)險評估標(biāo)準(zhǔn)簡介(2)我國信息安全風(fēng)險評估標(biāo)準(zhǔn)發(fā)展歷程2001年����,隨著GB/T18336的正式發(fā)布�����,從風(fēng)險的角度來認(rèn)識�、理解信息安全也逐步得到了業(yè)界的認(rèn)可。2003年�,國務(wù)院信息化辦公室成立了風(fēng)險評估研究課題組�,對風(fēng)險評估相關(guān)問題進(jìn)行研究�。2004年,提出了《信息安全風(fēng)險評估指南》標(biāo)準(zhǔn)草案��,其規(guī)定了風(fēng)險評估的一些內(nèi)容和流程�����,基本與S
7�����、P800-30中的內(nèi)容一致����。2005年,國信辦在全國4個省市和3個行業(yè)進(jìn)行風(fēng)險評估的試點工作�����,根據(jù)試點結(jié)果對《信息安全風(fēng)險評估指南》進(jìn)行了修改�。2005~2006年,通過了國家標(biāo)準(zhǔn)立項的一系列程序�����,目前已進(jìn)入正式發(fā)布階段。正式定名為:信息技術(shù)信息安全風(fēng)險評估規(guī)范�����?����!缎畔踩L(fēng)險評估規(guī)范》標(biāo)準(zhǔn)操作的主要內(nèi)容引言定義與術(shù)語風(fēng)險評估概述風(fēng)險評估流程及模型風(fēng)險評估實施資產(chǎn)識別脆弱性識別威脅識別已有安全措施確認(rèn)風(fēng)險評估在信息系統(tǒng)生命周期中的不同要求風(fēng)險評估的形式及角色附錄標(biāo)準(zhǔn)內(nèi)容:引言提出了風(fēng)險評估的作用�、定位及目的。作用:過對信息系統(tǒng)的資產(chǎn)�����、面臨威脅���、存在的脆弱性、采用的
8�����、安全控制措
