返回
风险管理的作用.doc

风险管理的作用.doc

ID:57783501

大小:114.50 KB

页数:18页

时间:2020-03-28

风险管理的作用.doc_第1页
风险管理的作用.doc_第2页
风险管理的作用.doc_第3页
风险管理的作用.doc_第4页
风险管理的作用.doc_第5页
资源描述:

《风险管理的作用.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、风险管理的作用风险管理是IT管理者平衡IT系统及数据的保护成本和保护收益的方法,包括:·风险评估(RiskAssessment);·风险消减(RiskMitigation);·持续评价(ContinualEvaluation);风险管理的作用在于能够为机构完成其使命提供:·更安全的IT系统;·更有效的IT安全预算;·IT系统运行认可(Accreditation)依据;风险管理的关键角色·高级管理人员(SeniorManagement),为风险管理项目提供有效的资源保证,将风险分析的结果运用于管理决策;·首席信息官(ChiefI

2、nformationOfficer,CIO),将风险管理原则和方法用于IT计划、预算及其执行活动;·系统和信息拥有者(SystemandInformationOwners),支持风险管理项目,并将风险管理原则和方法用于其IT系统和数据的保护中;·业务和职能管理人(BusinessandFunctionalManagers),将风险管理原则和方法用于业务运行和IT采购决策中,以便IT系统能够更安全、有效地支持业务活动;·信息系统安全官(InformationSystemSecurityOfficer,ISSO),IT风险管理项目

3、的具体负责人,制定IT系统风险识别、评估和消减的全面方案,并向高级管理人员提供建议;·IT安全专业人员(ITsecurityPractitioners),包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等,支持和参与相关IT系统的风险管理工作,包括识别系统中的风险并部署适当的防范措施,为系统提供适当的安全保护;·安全意识培训师(SecurityAwarenessTrainers),理解风险管理方法并开发风险管理相关的培训材料,在培训项目中为用户提供培训评估方面的教育。风险评估·系统评定(SystemChar

4、acterization)·威胁识别(ThreatIdentification)·缺陷识别(VulnerabilityIdentification)·控制分析(ControlAnalysis)·可能性确定(LikelihoodDetermination)·影响分析(ImpactAnalysis)·风险确定(RiskDetermination)·控制建议(ControlRecommendations)·结果报告(ResultsDocumentation)系统评定·确定风险评估工作的范围;·勾勒运作授权(或认可)边界;·提供定义系

5、统风险的重要信息,这些信息主要包括以下类型:o硬件;o软件;o系统接口(如内部和外部连接);o数据和信息;o支持和使用IT系统的人员;o系统的使命(如IT系统所起的作用);o系统和数据的关键程度(如系统的价值或对机构的重要性);o系统和数据的敏感性。系统评定应收集的信息·IT系统的功能需求(FunctionalRequirements);·系统的用户,包括为系统提供技术支持的系统用户(SystemUsers),和使用系统执行业务功能的应用用户(ApplicationUsers);·系统安全政策(SecurityPolicy),

6、包括机构政策(OrganizationalPolicy)、政府要求(FederalRequirements)、法律法规(Law)和业界惯例(IndustryPractices);·系统安全架构(SystemSecurityArchitecture);·当前的网络拓扑(Topology);·保护系统和数据可用性、完整性和保密性的信息存储安全措施;·IT系统相关的信息流图,如系统接口、系统输入和输出流程图(Flowchart);·用于IT系统的技术控制措施,如支持识别(Identification)和认证(Authenticati

7、on)、访问控制(AccessControl)、审计(Audit)、残留(Residual)信息保护、加密(Encryption)的内建或附加安全功能;·用于IT系统的管理控制措施,如行为规则(RulesofBehavior)、安全计划(SecurityPlanning);·用于IT系统的运行控制措施,如人事安全(PersonnelSecurity)、备份(Backup)、应急(Contingency)、复原(Resumption)和恢复(Recovery)操作、系统维护(SystemMaintenance)、离站存储(Off

8、-SiteStorage)、用户账户(UserAccount)建立和删除规程、用户功能隔离(Segregation)控制;·IT系统的物理安全措施,如设施安全(FacilitySecurity)、数据中心政策(DataCenterPolicies);·IT系统的环境安全措施,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。