信息安全风险管理

《信息安全风险管理》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、信息安全风险管理风险与信息安全风险风险(risk)事态的概率及其结果的组合。[GB/T22081-2008信息技术安全技术信息安全管理实用规则]不确定性对目标的影响。[向宏等著，信息安全测评与风险评估]信息安全风险(informationsecurityrisk)人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。风险评估三要素资产(asset)对组织具有价值的信息或资源，是安全策略保护的对象。资产价值(assetvalue)资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。

2、威胁(threat)可能导致对系统或组织危害的不希望事故潜在起因。脆弱性(vulnerability)可能被威胁所利用的资产或若干资产的薄弱环节。信息安全风险管理的范围和对象信息指信息系统中采集、处理、存储的数据和文件等内容。信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体。信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境。信息安全风险管理的内容和过程信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的内容。背景建立、风险评估、风险处理和批准监督是信息

3、安全风险管理的四个基本步骤，监控审查和沟通咨询则贯穿于这四个基本步骤中。信息安全风险管理、信息系统生命周期和信息安全目标的关系信息系统生命周期各阶段的风险评估风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段，通过风险评估以确定系统的安全目标在建设验收阶段，通过风险评估以确定系统的安全目标达成与否在运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的

4、有效性，确保安全目标得以实现。信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控

5、制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。风险分析原理风险评估过程风险评估的工作形式信息安全风险评估分为自评估和检查评估两种形式。信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。风险处理的方式风险处理方式主要有规避、转移、降低和接受四种方式。相关缩写CERT:ComputerEmergencyRespons

6、eTeam,计算机应急响应组CVE:CommonVulnerabilitiesandExposures暴露(exposure)特定的攻击利用数据处理系统特定的脆弱性的可能性。