返回
风险评估管理系统程序

风险评估管理系统程序

ID:32737017

大小:555.50 KB

页数:36页

时间:2019-02-15

风险评估管理系统程序_第1页
风险评估管理系统程序_第2页
风险评估管理系统程序_第3页
风险评估管理系统程序_第4页
风险评估管理系统程序_第5页
资源描述:

《风险评估管理系统程序》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、标准实用风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次文案大全标准实用目录1概述52术语与定义52.1风险管理52.1.1风险评估52.2其他63风险评估框架及流程73.1风险要素关系7文案大全标准实用3.2风险分析原理93.3实施流程94风险评估准备过程104.1确定范围104.2确定目标114.3确定组织结构114.4确定风险评估方法114.5获得最高管理者批准115风险评估实施过程115.1资产赋值135.1.1资产分类145.1.2资产价值属性175.1.3资产价值

2、属性赋值标准195.2威胁评估235.2.1威胁分类235.2.2威胁赋值265.3脆弱性评估275.4确定现有控制305.5风险评估305.5.1风险值计算305.5.2风险等级划分315.5.3风险评估结果纪录316风险管理过程326.1安全控制的识别与选择336.2降低风险346.3接受风险356.4风险管理要求357相关文件36文案大全标准实用1文案大全标准实用概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起,将风险概念作为信息安全管理实践的对象和出发点,信息安全管理

3、的控制点以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程,风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式

4、。1术语与定义1.1风险管理风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产,确保信息的机密性、完整性和可用性,将风险管理自始至终的贯穿于整个信息安全管理体系中,这种体系并不能完

5、全消除信息安全的风险,只是尽量减少风险,尽量将攻击造成的损失降低到最低限度。1.1.1风险评估风险评估指风险分析和风险评价的整个过程,其中风险分析是指系统化地识别风险来源和风险类型,风险评价是指按组织制定的风险标准估算风险水平,确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析,与信息安全风险有关的因素可以包括四大类:资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估,它包含以下元素:文案大全标准实用风险是被特定威胁利用的资产的一种或一组脆弱

6、性,导致资产丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信息资源,是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。1.1其他1.资产Asset:对组织具有价值的信息或资源,是安全策略保护的对象。2.资产价值AssetValue:资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。3.机密性confidentiality

7、:数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。4.完整性integrity:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。5.可用性availability:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。6.数据完整性dataintegrity:数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变。7.系统完整性systemintegrity:在防止非授权用户修改或使用资源和防止授权用户不正确

8、地修改或使用资源的情况下,信息系统能履行其操作目的的品质。8.信息安全风险informationsecurityrisk:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。9.信息安全风险评估informationsecurityriskassessment:依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。