返回
信息系统风险评估标准与方法分析

信息系统风险评估标准与方法分析

ID:36857804

大小:242.67 KB

页数:5页

时间:2019-05-16

信息系统风险评估标准与方法分析_第1页
信息系统风险评估标准与方法分析_第2页
信息系统风险评估标准与方法分析_第3页
信息系统风险评估标准与方法分析_第4页
信息系统风险评估标准与方法分析_第5页
资源描述:

《信息系统风险评估标准与方法分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第25卷第4期成都信息工程学院学报Vol.25No.42010年8月JOURNALOFCHENGDUUNIVERSITYOFINFORMATIONTECHNOLOGYAug.2010文章编号:16711742(2010)04037705信息系统风险评估标准与方法分析吴震,王敏(成都信息工程学院信息安全研究所,四川成都610225)摘要:介绍了常用的英国、ISO、中国等3种评估标准,并分析比较了BS7799和CC标准的不同之处。同时,对信息安全风险评估中另一个重要内容风险评估方法

2、进行研究,给出了定量、定性、定性与定量相结合、基于树!的技术、动态系统的技术等评估的方法,分析总结了各种方法的优缺点及其适用场合,为优选评估方案提供了理论依据。最后阐述了信息系统风险评估的发展趋势。关键词:信息安全;风险评估;信息系统安全风险;标准;模型;方法中图分类号:TP393文献标识码:A随着国民经济和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,由此产生的信息安全问题对国家安全的影响日益增加、日益突出。安全

3、事件出现的可能性和影响主要由系统的脆弱性,人为或自然的威胁所导致。换言之,信息系统安全风险是由信息安全事件发生的可能性及其影响决定的。如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决这些问题的重要方法和基础性工作。所谓信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保

4、密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息[1]系统的安全风险。1安全风险评估的相关标准及分析1.1典型标准简介目前,国际流行的信息安全标准大致可以分为3类。第一类主要解决不同安全产品的互操作性问题,可以称之为互操作标准,如加密标准、安全电子邮件标准、安全电子商务标准等。第二类针对信息安全技术和信息工程,它认定安全等级,评定安全产品和安全服务商,如美国的可信计算机

5、系统评估准图1PDCA模型应用与信息安全管理体系过程则TCSEC、欧盟的信息技术安全性评估准则ITSEC、国际标准组织的信息产品通用测评准则CC/ISO15408以及我国的计算机信息系统安全保护等级划分准则GB178591999。第三类针对使用网络和信息系统的企业或组织,它对企业或组织的信息安全管理进行评估,如英国的信息安全管理标准BS7799/ISO17799和国际标准组织的信息安全管理指南ISO13335。(1)BS7799(ISO/IEC17799)信息安全管理标准BS7799是由英国标准委员会(BSI)

6、制定的,引入的PDCA过程模型如图1所示。作为通行的信息安全管理标准,BS7799旨在为组织实施信息安全管理体系(ISMS)提供指导性框架,标准基于风险管理的思想,指导组织建立信息安全管理体系ISMS。ISMS是一个系统化、程序化和文件化的管理体收稿日期:20100316;修订日期:20100706基金项目:四川省科技厅应用基础资助项目(2008JY0078)378成都信息工程学院学报第25卷系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有

7、关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受水平,确保信息的保密性、完整性和可用性,保持[2]组织业务运作的持续性。BS7799标准的金字塔形结构十分清楚,这使得借助它实施风险评估时十分清楚和流畅,实施人员可以依据目录分门别类进行选择和操作。同时,还便于在风险评估后进行核查、教育和培训。但是,BS7799标准还存在不[3]足之处:标准中的控制目标、控制方式要求包含信息安全管理的全部,组织

8、可以根据需要考虑另外的控制目标和控制方式;作为一个管理标准,它不具有一个技术标准所必须的测量精度;BS7799没有在要项和目标之间区分重要性,没有设置权重,它将各个层次内的条目并列看待,这不太符合各个行业有所区分的实际情况;BS7799提供了具体的实施细则,却没有提供标准的实施方法,增加了风险评估实施的困难。(2)ISO/IEC13335(IT

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。