返回
信息安全体系风险评估

信息安全体系风险评估

ID:39833858

大小:1.53 MB

页数:67页

时间:2019-07-12

信息安全体系风险评估_第1页
信息安全体系风险评估_第2页
信息安全体系风险评估_第3页
信息安全体系风险评估_第4页
信息安全体系风险评估_第5页
资源描述:

《信息安全体系风险评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全体系风险评估基本概念重要意义工作方式几个关键问题21、什么是风险评估信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。什么是风险评估风险评估的基本概念对基本概念的解释业务战略:即一个单位通过信息技术手段实现的

2、工作任务。一个单位的业务战略对信息系统和信息的依赖程度越高,风险评估的任务就越重要。为什么要首先谈业务战略?这是信息化的目的,一个信息系统如果不能实现具体的工作任务,那么这个信息系统是没有用处的。信息安全不是最终目的,信息安全要服务于信息化。对基本概念的解释(续)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力等。这是需要保护的对象。只有资产得到保护,单位的业务战略才可以实现。资产价值:资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。这里指的资产价值不一定是购买时的货币价值。资产价值与业务

3、战略联系紧密。信息安全的投入是有成本的,信息安全投入应适当,与资产的价值相适宜。对基本概念的解释(续)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、行为、可能性和后果。为什么要谈威胁?如果没有威胁,就不会有安全事件。示例:常见人为威胁对基本概念的解释(续)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。威胁是外因,而脆弱性是内因。外因要通过内因起作用。脆弱性是资产本身所具有的(例如系统没有打补丁),威胁要利用脆弱性才能造成安全事件。脆弱性/威胁对

4、(示例)对基本概念的解释(续)事件:如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。在描述一个信息安全事件时,要明确:安全事件是如何产生的(与威胁的属性和脆弱性有关)?事件造成了什么后果(与资产有关)?事件的后果有多大(与资产的价值有关)?这个事件发生的可能性有多大(与威胁和脆弱性存在的可能性、威胁的动机等属性有关)?对基本要素的解释(续)风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种因素来衡量。为什么要提出风险

5、的概念?安全事件的发生是有概率的。不能只根据安全事件的后果便决定信息安全的投入和安全措施的强度。对后果严重的极小概率事件,不能盲目投入。因此,要综合考虑安全事件的后果影响及其可能性,两者的综合便是“风险”的概念。高风险要优先得到处理。对基本要素的解释(续)残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。为什么提出残余风险的概念?风险不可能完全消除。信息技术在发展,外部环境在变化,信息系统本身也要发生变化,信息安全的动态性使得不可能完全消除未来发生安全事件的风险。风险不必要完全消除。资产的价值以及信息安全的投入之

6、间的比例关系决定了对有些安全风险,采取措施反而比不采取措施更糟糕。此外,由于某些原因(例如时间、资金、业务、安全措施不当等原因),仍有些风险需要在以后继续控制和处理。对基本要素的解释(续)残余风险应受到密切监视,因为它可能会在将来诱发新的事件。所谓安全的信息系统,并不是指“万无一失”的信息系统,而是指残余风险可以被接受的安全系统。对基本概念的解释(续)安全需求:为保证单位的业务能够正常开展,在信息安全保障措施方面提出的要求。安全措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实

7、施的各种实践、规程和机制的总称。资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的。要根据威胁的属性和脆弱性的具体情况,有针对性地选择和实施安全措施。风险评估各个要素间的相互作用对各要素相互作用的解释通过安全措施来对资产加以保护,对脆弱性加以弥补,从而可降低风险;实施了安全措施后,威胁只能形成残余风险。某些情况下,也可能会有多个脆弱性被同时利用。脆弱性与威胁是独立的,威胁要利用脆弱性才能造成安全事件。某些脆弱性可以没有对应的威胁,这可能是由于这个威胁不在考虑的范围内,或者这个威胁的影响极小,以至忽

8、略不计。采取安全措施的目的是控制风险,将残余风险限制在能够接受的程度上。内容简介基本概念重要意义工作方式几个关键问题国家对信息安全风险评估工作的要求《国家信息化领导小组关于加强信息安全保障工作的意见》的通知(中办发[20

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。