信息安全风险管理

《信息安全风险管理》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、国家（上海）信息安全工程技术研究中心上海世博会信息化安全性检测与评估技术联合实验室2010年9月信息安全风险管理主要内容风险与风险管理介绍1信息安全风险评估介绍2国内外信息安全现状简介3风险与风险管理风险（Risk）在信息安全领域讲，就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险评估（RiskAssessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。风险管理（RiskManagement）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。风险管理的形象描述系统基本风险采取措施后

2、残余风险安全成本与利益的平衡绝对安全是不现实的寻求达到安全目标与安全成本的平衡风险管理的实际操作流程风险评估是风险管理过程中的关键步骤风险评估的一般方法定量风险评估：试图从数字上对安全风险进行分析评估的一种方法。定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。风险评估量化计算模型渗透测试模型国内外信息安全发展现状（标准体系）国内等级保护体系(GB17859)信息安全保障体系(GB/T20274)……国际技术体系(RFC、NIST-SP800)管理体系(ISO27001/ISO27002)评估体系(ISO15

3、408)……ISO27001-风险管理的过程模型应用于ISMS过程的PDCA模型计划：建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程，以提供与组织总体方针和总体目标一致的结果。实施：实施和运行ISMS方针、控制措施和规程。检查：基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，已持续改进ISMS。处置：对照ISMS方针、目标和实践经验，评估并在适当时检测过程的执行情况，并将结果报告管理者以供评审。ThankYou！