返回
信息安全风险管理

信息安全风险管理

ID:42342529

大小:751.00 KB

页数:111页

时间:2019-09-13

信息安全风险管理_第1页
信息安全风险管理_第2页
信息安全风险管理_第3页
信息安全风险管理_第4页
信息安全风险管理_第5页
资源描述:

《信息安全风险管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险管理10.1风险管理概述“知己知彼,百战不殆。知己而不知彼,即便获得胜利也损失惨重。既不知已又不知彼,每仗必败。”为了取得信息安全管理的胜利,必须知己知彼。10.1.1知己首先必须识别、检查和熟悉机构中当前的信息及系统,这是不言而喻的。要想保护资产就必须熟悉它们是什么,它们对机构的价值,以及可能有哪些漏洞。资产在这里是指信息及使用、存储和传输这些信息的系统。10.1.2知彼知彼,这就意味着识别、检查并熟悉机构面临的威胁。必须确定出对机构信息资产的安全影响最直接的威胁。然后,通过对这些威胁的理解,按照每项资产对于机构的重要程度,建立一

2、个威胁等级列表。10.1.3利益团体的作用机构中的每一个利益团体都有责任管理机构面临的风险,可以从以下三方面的分析中看出:1.信息安全因为信息安全团体的成员最了解把风险带入机构的威胁和攻击,所以他们常常在处理风险时处于领导地位。10.1.3利益团体的作用2.管理人员管理人员和用户经过适当的培训,会对机构面临的威胁有着清醒的认识,在早期的检测和响应阶段起一定的作用。3.信息技术利益团体必须建立安全的系统,并且安全的操作这些系统。例如,IT操作应进行合理的备份,以避免硬盘故障引起的风险。10.2风险管理的基本概念10.2.1资产相关概念1.资产所谓

3、资产就是被组织赋予了价值、需要保护的有用资源。在信息安全体系范围内,一项非常重要的工作就是为资产编制清单。每项资产都应该清晰地定义,合理地估价,在组织中明确资产所有权关系,对资产进行安全分类,并以文件形式详细记录在案。10.2.1资产相关概念2.资产的价值资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。为了明确对资产的保护,有必要对资产进行估价,其价值大小不仅仅要考虑其自身的价值,还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。10.2.1资产相关概念因此,在信息系统中资产的价值可以用信息或其他

4、技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。10.2.1资产相关概念3.威胁威胁是指可能对资产或组织造成损害的事故的潜在原因。例如,网络系统可能受到来自计算机病毒和黑客攻击的威胁。4.脆弱性所谓脆弱性就是资产的弱点或薄弱点,这些弱点可能被威胁利用,造成安全事件的发生,从而对资产造成损害。脆弱性本身并不会引起损害,它只是为威胁提供了影响资产安全性的条件。10.2.2风险管理的相关概念1.安全风险所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。通过确定资产

5、价值及相关威胁与脆弱性的水平,可以得出风险的度量值。10.2.2风险管理的相关概念即对信息和信息处理设施的威胁、影响(指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。10.2.2风险管理的相关概念风险评估的主要任务包括:·识别组织面临的各种风险;·评估风险概率和可能带来的负面影响;·确定组织承受风险的能力;·确定风险降低和控制的优先等级;·推荐风险降低对策。风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具,

6、包括定性和定量的方法,确定资产风险等级和优先控制顺序。10.2.2风险管理的相关概念2.风险管理所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小,通过制定信息安全方针,使风险被避免、转移或降至一个可被接受的水平。风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。风险管理风险识别风险评估风险控制图风险管理过程10.2.2风险管理的相关概念在风险管理过程中,有几个关键的问题需要考虑。第一,要确定保护的对象是什么?它的直接和间接价值如何?第二,资产面临哪些潜在威胁

7、?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降到最低?解决以上问题的过程,就是风险管理的过程。10.2.2风险管理的相关概念这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析这个概念。实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略,风险评估只是风险分析中的一项工作,即对可识别

8、的风险进行评估,以确定其可能造成的危害。10.2.2风险管理的相关概念3.安全需求在信息安全体系中,要求组织确认如下安全需求:·评估出组织所面临的安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。