資源描述:
《信息安全風險評估與風險管理》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、信息安全風險評估與風險管理一����、風險評估中的概念及模型二�����、風險評估標準三�、風險評估流程與方法四�、風險評估的輸出結(jié)果五、風險管理六��、總結(jié)目錄信息安全的定義機密性(integrity):確保該信息僅對已授權(quán)訪問的人們才可訪問只有擁有者許可����,才可被其他人訪問完整性(confidentiality):保護信息及處理方法的準確性和完備性;不因人為的因素改變原有的內(nèi)容��,保證不被非法改動和銷毀可用性(availability):當要求時����,即可使用信息和相關(guān)資產(chǎn)。不因系統(tǒng)故障或誤操作使資源丟失��。響應時間要求��、故障下的持續(xù)運行。其他:可控性��、可審查性KeywordsI信息安全:信息的
2���、保密性���、完整性、可用性的保持��。風險評估:對信息和信息處理設施的威脅����,影響和薄弱點以及威脅發(fā)生的可能性的評估��。風險管理:以可接受的費用識別�、控制、降低或消除可能影響信息系統(tǒng)安全的風險的過程�����。威脅:是指某個人�����、物、事件或概念對某一資源的保密性�����、完整性��、可用性或合法使用所造成的危險�。KeywordII威脅(Threat):是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。薄弱點(Vulnerability):是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點�����。風險(Risk):特定的威脅利用資產(chǎn)的一種或一組薄弱點�����,導致資產(chǎn)的丟失或損害的潛在可能性��,即特定威脅事件發(fā)生的可能性與后果的結(jié)合���。
3�����、風險評估的目的和意義認識現(xiàn)有的資產(chǎn)及其價值對信息系統(tǒng)安全的各個方面的當前潛在威脅�����、弱點和影響進行全面的評估通過安全評估���,能夠清晰地了解當前所面臨的安全風險���,清晰地了解信息系統(tǒng)的安全現(xiàn)狀明確地看到當前安全現(xiàn)狀與安全目標之間的差距為下一步控制和降低安全風險、改善安全狀況提供客觀和翔實的依據(jù)信息系統(tǒng)風險模型所有者攻擊者對策漏洞風險威脅資產(chǎn)風險計算依據(jù)價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風險后果可能性難易程度嚴重性弱點可能性威脅影響一���、風險評估中的概念及模型二����、風險評估標準三�����、風險評估流程與方法四���、風險評估的輸出結(jié)果五、風險管理六�����、總結(jié)目錄國外相關(guān)信息安全風險評估標準簡介(1)
4、ISO27001:信息安全管理體系規(guī)范���、ISO17799信息安全管理實踐指南基于風險管理的理念�����,提出了11個控制大類���、34個控制目標和133個控制措施;提出風險評估的要求�����,并未對適用于信息系統(tǒng)的風險評估方法和管理方法做具體的描述��。OCTAVE:OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大學軟件工程研究所(CMU/SEI)開發(fā)的一種綜合的�����、系統(tǒng)的信息安全風險評估方法3個階段8個過程���。3個階段分別是建立企業(yè)范圍內(nèi)的安全需求����、識別基礎設施脆弱性、決定安全風險管理策略
5����、。OCTAVE實施指南(OCTAVESMCatalogofPractices,Version2.0)���,該實施指南闡述了具體的安全策略��、威脅輪廓和實施調(diào)查表��。AS/NZS4360:1999風險管理澳大利亞和新西蘭聯(lián)合開發(fā)的風險管理標準將對象定位在“信息系統(tǒng)”�;在資產(chǎn)識別和評估時����,采取半定量化的方法,將威脅����、風險發(fā)生可能性���、造成的影響劃分為不同的等級���。分為建立環(huán)境���、風險識別、風險分析�、風險評價、風險處置等步驟���。ISO/IECTR13335信息技術(shù)安全管理指南提出了風險評估的方法��、步驟和主要內(nèi)容�����。主要步驟包括:資產(chǎn)識別���、威脅識別、脆弱性識別�、已有控制措施確認、風險計算等
6���、過程���。NISTSP800-30:信息技術(shù)系統(tǒng)風險管理指南提出了風險評估的方法論和一般原則,風險及風險評估概念:風險就是不利事件發(fā)生的可能性��。風險管理是評估風險、采取步驟將風險消減到可接受的水平并且維持這一風險級別的過程�。國外相關(guān)信息安全風險評估標準簡介(2)我國信息安全風險評估標準發(fā)展歷程2001年,隨著GB/T18336的正式發(fā)布����,從風險的角度來認識、理解信息安全也逐步得到了業(yè)界的認可��。2003年����,國務院信息化辦公室成立了風險評估研究課題組,對風險評估相關(guān)問題進行研究��。2004年���,提出了《信息安全風險評估指南》標準草案�,其規(guī)定了風險評估的一些內(nèi)容和流程�,基本與S
7、P800-30中的內(nèi)容一致����。2005年���,國信辦在全國4個省市和3個行業(yè)進行風險評估的試點工作�����,根據(jù)試點結(jié)果對《信息安全風險評估指南》進行了修改���。2005~2006年���,通過了國家標準立項的一系列程序,目前已進入正式發(fā)布階段�。正式定名為:信息技術(shù)信息安全風險評估規(guī)范?���!缎畔踩L險評估規(guī)范》標準操作的主要內(nèi)容引言定義與術(shù)語風險評估概述風險評估流程及模型風險評估實施資產(chǎn)識別脆弱性識別威脅識別已有安全措施確認風險評估在信息系統(tǒng)生命周期中的不同要求風險評估的形式及角色附錄標準內(nèi)容:引言提出了風險評估的作用、定位及目的�����。作用:過對信息系統(tǒng)的資產(chǎn)�、面臨威脅、存在的脆弱性��、采用的
8��、安全控制措
