資源描述:
《ISMS-4-信息安全風(fēng)險(xiǎn)評(píng)估與管理》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1�、信息安全風(fēng)險(xiǎn)評(píng)估與管理PKSEC北京知識(shí)安全工程中心1.概念解析2.風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理的一般過(guò)程3.信息安全風(fēng)險(xiǎn)管理模型4.27001中風(fēng)險(xiǎn)管理的要求5.信息安全風(fēng)險(xiǎn)管理方法?課程內(nèi)容1概念解析與過(guò)程相關(guān)的概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處理資產(chǎn)威脅脆弱性防護(hù)措施與要素相關(guān)的概念風(fēng)險(xiǎn)是什么�����?中國(guó)有句古話:“天有不測(cè)風(fēng)云����,人有旦夕禍?���!?.1風(fēng)險(xiǎn)關(guān)于風(fēng)險(xiǎn)幾個(gè)描述中石油吉化公司雙苯廠發(fā)生爆炸��,污染松花江水質(zhì)����,給下游城市帶來(lái)嚴(yán)重的水危機(jī)目前環(huán)境下投資股票比投資國(guó)債風(fēng)險(xiǎn)要大人身意外傷害保險(xiǎn)頻繁的黑客活動(dòng)給網(wǎng)上銀行帶來(lái)很大的風(fēng)險(xiǎn)內(nèi)部人員的誤操作和惡意侵害是銀行最大信息不安全1.1
2�����、風(fēng)險(xiǎn)不利事件不利事件發(fā)生的條件不利事件發(fā)生的可能性不利事件的影響風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)金山詞霸2005:美國(guó)傳統(tǒng)詞典Thepossibilityofsufferingharmorloss;danger.遭受損害或損失的可能性�����;危險(xiǎn)風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)辭海:上海辭書(shū)出版社����,1989年風(fēng)險(xiǎn):是指人們?cè)谏a(chǎn)建設(shè)和日常生活中遭遇可能導(dǎo)致人身傷亡、財(cái)產(chǎn)受損及其它經(jīng)濟(jì)損失的自然災(zāi)害�����、意外事故和其它不測(cè)事件的可能性�。AS/NZS4360:澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn):風(fēng)險(xiǎn):對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機(jī)會(huì)。它可以用后果和可能性來(lái)衡量�。Risk:thechanceofsomethinghappen
3、ingthatwillhaveonimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.1.1風(fēng)險(xiǎn)風(fēng)險(xiǎn)的定義1.1風(fēng)險(xiǎn)ISOGuide73:2002(RiskManagement–Vocabulary–Guidelinesforuseinstandards)risk:combinationoftheprobabilityofaneventanditsconsequence事件的可能性及其后果的組合�。注1:通常�����,只有至少存在產(chǎn)生不利結(jié)果可能性的情況下才使用“風(fēng)險(xiǎn)”術(shù)語(yǔ)�����。注2:在某些情況下�,風(fēng)險(xiǎn)是由偏
4���、離期望的結(jié)果或事件的可能性引起的�����。ISO/IECTR13335-1:1996安全風(fēng)險(xiǎn):是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性�。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.1.1風(fēng)險(xiǎn)后果Consequence以定性或定量方式表示的一個(gè)事件的結(jié)果�,可以是損害、傷害����、失利或獲利����?���?赡苄訪ikelihood用作對(duì)幾率或頻率的定性描述���。幾率Probability以事件或結(jié)果與
5����、可能發(fā)生事件或結(jié)果的總數(shù)之比來(lái)度量事件或結(jié)果的可能性��。用數(shù)字0或者1來(lái)表達(dá)�����。頻率Frequency以規(guī)定時(shí)間內(nèi)所發(fā)生的次數(shù)來(lái)表達(dá)的事件發(fā)生率的度量���。與風(fēng)險(xiǎn)有關(guān)的名詞:1.1風(fēng)險(xiǎn)風(fēng)險(xiǎn)(risk)風(fēng)險(xiǎn)是指遭受損害或損失的可能性����,是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素��。對(duì)信息系統(tǒng)而言:兩種因素造成對(duì)其使命的實(shí)際影響:(1)一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率�;(2)上述事件發(fā)生之后所帶來(lái)的影響。1.1風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理ISOGuide73:2002(RiskManagement–Vocabulary–Guidelinesforuseinsta
6����、ndards)riskmanagement:coordinatedactivitiestodirectandcontrolanorganizationwithregardtorisk.在風(fēng)險(xiǎn)方面指揮和控制組織的協(xié)同活動(dòng)�。注:風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)評(píng)估���、風(fēng)險(xiǎn)處理�、風(fēng)險(xiǎn)接受和溝通��。風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理Wikipedia維基百科-自由�、開(kāi)發(fā)的百科全書(shū)風(fēng)險(xiǎn)管理又名危機(jī)管理,是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程����。當(dāng)中包括了對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略���。理想的風(fēng)險(xiǎn)管理���,是一連串排好優(yōu)先次序的過(guò)程,使當(dāng)中的可以引致最大損失及最可能發(fā)生的事情優(yōu)先處理�、而相對(duì)風(fēng)險(xiǎn)較低的
7、事情則壓后處理����。理想的風(fēng)險(xiǎn)管理,正希望能夠花最少的資源去盡可能化解最大的危機(jī)�。風(fēng)險(xiǎn)管理的概念1.2風(fēng)險(xiǎn)管理PeterL.Bernstein,《與上帝做對(duì):風(fēng)險(xiǎn)的非凡經(jīng)歷》,1996年� “一個(gè)具有革命意義的看法是,對(duì)風(fēng)險(xiǎn)的掌握程度是劃分現(xiàn)代和過(guò)去時(shí)代的分水嶺:所謂對(duì)風(fēng)險(xiǎn)的掌握就是說(shuō)未來(lái)不再更多地依賴上帝的安排����,人類在自然面前不再是被動(dòng)的。在人們發(fā)現(xiàn)跨越這個(gè)分水嶺的道路之前��,未來(lái)只是過(guò)去的鏡子�,或者是屬于那些壟斷了對(duì)未來(lái)事件進(jìn)行預(yù)測(cè)的圣賢和占撲者的黑暗領(lǐng)地?���!? “風(fēng)險(xiǎn)管理有助于我們?cè)诜浅?/p>
