返回
试论软件企业中的信息安全风险管理.doc

试论软件企业中的信息安全风险管理.doc

ID:50652437

大小:47.50 KB

页数:6页

时间:2020-03-13

试论软件企业中的信息安全风险管理.doc_第1页
试论软件企业中的信息安全风险管理.doc_第2页
试论软件企业中的信息安全风险管理.doc_第3页
试论软件企业中的信息安全风险管理.doc_第4页
试论软件企业中的信息安全风险管理.doc_第5页
资源描述:

《试论软件企业中的信息安全风险管理.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、试论软件企业中的信息安全风险管理企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析,提出了采用信息安全体系建设系统解决信息安全问题,着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。论文关键词:软件企业;信息安全;风险管理随着国家大力推动软件外包行业和it行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和it技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。(4)识别评估控制措施。在我们识别出威胁和脆

2、弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:%1控制措施影响程度为"好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;%1控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;%1控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新

3、制定新的控制措施满足公司信息安全管理要求。控制措施的有效性是我们风险评价的依据之一。LocaLHosT.风险评价风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:(1)分析评估可能性和影响。“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:%1可能性级别“高”,赋值为“1”

4、,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;%1可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;%1可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:%1影响级别“高”,赋值为“100”,该级别影响对脆弱性的利用:a.可能导

5、致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;%1影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。%1影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。参考“风险分析"中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用

6、脆弱性的可能性就比较高,影响也比较高,均属于“高"等级。可能性和影响都是我们进行风险评价的依据。(2)评价风险。在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:%1“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;%1“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;%1“低”等级风险:如果被评

7、估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。・风险处置。风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:%1行动优先级排序。行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。%1评估建议的安全选项评估建议的安全选项主要考虑安全选项的可行性和有效性。%1实施成本效益分析。对建议的安全选项进行成本效益分析,帮助组织的管理人员

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。