返回
对信息安全风险评估思考.ppt

对信息安全风险评估思考.ppt

ID:50527222

大小:500.00 KB

页数:42页

时间:2020-03-14

对信息安全风险评估思考.ppt_第1页
对信息安全风险评估思考.ppt_第2页
对信息安全风险评估思考.ppt_第3页
对信息安全风险评估思考.ppt_第4页
对信息安全风险评估思考.ppt_第5页
资源描述:

《对信息安全风险评估思考.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、对信息安全风险评估的思考安全咨询事业部黄永飞安全咨询顾问风险评估信息安全风险评估What?Why?How?问题思考问题思考信息安全风险评估What信息安全风险评估是什么?信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。信息系统的安全风险是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

2、安全风险评估是什么?人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?总是试图找出最合理的答案,这一过程实际上就是风险评估。早在上个世纪初期,科学家就已开始研究风险管理理论。问题思考信息安全风险评估Why“三分技术,七分管理”,我们的员工安全意识如何?依靠现有的安全产品是否能够解决现在的安全问题?现有的安全产品是否真正的起到了作用?如果发生安全事故,我们能否在最短时间内恢复业务系统?对未来的网络扩展和安全配置升级有没有前瞻性的规划?能否更多的节约投入成本?。。。。。。。。。。。。。

3、。。。。。。。。。。。。问题思考信息安全风险评估的意义风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是需求主导和突出重点原则的具体体现重视风险评估是信息化比较发达国家的基本经验风险评估是分析确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。信息安全风险评估的意义信息安全风险评估的意义信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、

4、风险的分散等之间作出决策的过程。信息安全风险评估是信息安全建设的起点和基础信息安全风险评估的意义所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。信息安全风险评估的意义如果说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评

5、估的意义不考虑风险的信息化是要付出代价有时代价可能很高,甚至难以承受信息安全风险评估的意义不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的,也不是需求主导原则所要求的。坚持从实际出发,坚持需求主导、突出重点,就必须科学地评估风险,有效控制风险。信息安全风险评估的意义上个世纪70年代,美国政府就发布了《自动化数据外理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息

6、和信息系统应有的安全。重视风险评估是信息化比较发达国家的基本经验信息安全风险评估的意义英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS7799),BS7799分为两个部分:BS7799-1《信息安全管理实施规则》和BS7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》(BS7799-2:2002)。它将信息安全管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施。目前,在BS77992中,提出了如何了建立信息安全管理体系的步骤。在信息安全管理体系的核心部位是风险评估和风险管理。目前,全球通过BS77

7、99认证的数量达450家左右,其中绝大部分分布在欧洲和亚洲,整个中国地区(包括香港和台湾在内)通过BS7799认证的数量近20家。为用户提供具有针对性的安全产品和安全技术给用户提供量化的信息资产价值列表和资产风险列表可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施为决策和政策考虑提供不同的解决方案,使信息科技安全管理能够从策略性的层面推行为日后比较信息科技安全措施的变化提供依据信息安全风险评估的意义-总结问题思考信息安全风险评估How问题思考信息安全风险评估怎么实施?信息安全风险评估实施前需要准备什么?信息资产的属性怎么进行量化

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。