欢迎来到天天文库
浏览记录
ID:43519277
大小:1.98 MB
页数:83页
时间:2019-10-09
《计算机信息安全风险评估概述》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全风险评估概述1信息安全风险评估发展概况信息技术的飞速发展,关系国计民生关键信息的基础设施的规模越来越大,极大地增加了信息系统的复杂程度。各个国家越来越重视信息安全风险评估工作,提倡信息安全风险评估制度化。1.1美国信息安全风险评估发展概况1.1.1美国信息安全风险评估发展概况在国际上,美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家,一直主导信息技术和信息安全的发展,信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了3个阶段,见表5-1。表5-1风险评估发展过程1.1美国信息安全风险评估发
2、展概况1.1.2其他国家信息安全评估发展概况欧洲在信息化方面的优势不如美国,但作为多个老牌大国的联合群体,欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。1信息安全风险评估发展概况1.2我国信息安全风险评估的发展现状我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。2信息安全风险评估的目的和意义1.信息安全风险评估是科学分析并确定风险的过程2.信息安全风险评估是信息安全建设的起点和基础3.信息安全风险评估是需求主导和突出重点原则的具体体现4.信息安全风险评
3、估是组织机构实现信息系统安全的重要步骤2信息安全风险评估的目的和意义1.信息安全风险评估是科学分析并确定风险的过程任何系统的安全性都可以通过风险的大小来衡量,科学地分析系统的安全风险,综合平衡风险和代价构成了风险评估的基本过程。2.信息安全风险评估是信息安全建设的起点和基础所有信息安全建设应该基于信息安全风险评估,只有正确地、全面地识别风险、分析风险,才能在预防风险、控制风险、减少风险、转移风险之间作出正确的决策,决定调动多少资源、以什么样的代价、采取什么样的应对措施化解风险、控制风险。3.信息安全风险评估是需求主导和突出重点原则的具体体现风险是客观存在的,试图完全消灭风险或完全避免风险是
4、不现实的,要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度,以及在信息化建设不同阶段的信息安全要求,坚持从实际出发、需求主导、突出重点、分级防护,科学评估风险并有效地控制风险。4.信息安全风险评估是组织机构实现信息系统安全的重要步骤通过信息安全风险评估,可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害,分析信息系统的安全需求,找出目前的安全策略和实际需求的差距,提供严谨的安全理论依据和完整、规范的指导模型。3信息安全风险评估的原则1.可控性原则⑴人员可控性⑵工具可控性⑶项目过程可控性2.完整性原则严格按照委托单位的评估要求和指定的范围进行全面的评估服务
5、。3.最小影响原则从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。4.保密原则与评估对象签署保密协议和非侵害性协议,要求参与评估的单位或个人对评估过程和结果数据严格保密,未经授权不得泄露给任何企业和个人。4信息安全风险评估的概念4.1信息安全风险评估的概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。4信息安全风险评估的概念4.
6、2信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段。4.3信息安全风险评估的两种方式根据风险评估发起者的不同,信息安全风险评估分为自评估、检查评估两种形式。自评估和检查评估可以依靠自身技术力量进行,也可以委托第三方专业机构进行。4.3信息安全风险评估的两种方式4.3.1自评估自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,以发现信息系统现有弱点、实施安全管理为目的,是信息安全风险评估的主要形式。4.3.2检查评估检查评估是指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估
7、,是通过行政手段加强信息安全的重要措施。4.4信息安全风险评估的分类在进行风险评估时,应当针对不同的环境和安全要求选择恰当的风险评估种类,目前,实际操作中经常使用的风险评估包括基线风险评估、详细风险评估、联合风险评估。4.4.1基线风险评估基线评估的优点是需要的资源少、周期短、操作简单等。缺点是安全基线水平的高低难以设定、管理与安全相关的变更可能有困难等。4.4信息安全风险评估的分类4.4.2详细风险评估详细风险评估的优
此文档下载收益归作者所有