版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息平安与风险管理平安管理安全管理风险管理信息安全策略规程标准方针基线信息分级安全组织安全教育平安管理主要内容及概述平安方案是公司的平安管理的中心组成部分,目的是维护公司财富。风险分析是确定公司财富,发现构成要挟的风险并评价这些危险变成现实的时能够接受的危害和损失,风险分析的结果协助管理者采取可行的平安战略,为在公司中发生的活动提供平安方面的指点,阐明平安管理在公司平安方案中的价值。平安教育将上面的信息灌输给公司中的每个员工,这样,每一个人都遭到教育,从而可以更容易的朝着同一个平安目的前进。平安管理平安管理过程评定风险和确定需求监控和评估加强意识实施策略和控制安全管理过程是一个不断循环的过程;首先从评估风险和确定需求开始;然后监控和评估相关系统和事件;接下来是加强意识,这包括让企业中的所有相关人员了解需要处理的问题。最后一步是实施解决前面定义的风险和需求的策略和控制。然后这个循环再次从头开始。平安管理平安管理职责平安方案平安方案须包括目的、范围、方针、优先级、规范和战略。资源有人力资源、资本、硬件以及信息等多种方式。管理职责管理者必须分配职责和任务,从而让安全计划启动并在环境改变的情况下任然能够运行下去。管理者也必须将安全计划整合到目前的山野环境中,并监控他的完成情况。影响安全计划的因素管理上的支持是安全计划最重要的因素之一。从商业目标、安全风险、用户能力以及功能需求和目标,并制定计划,以保证问题都解释清楚而且正确表述。依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则,他们为资产提供了完整性、机密性和可用性。使用一定的手段对安全风险进行评估和分析。必要的资源、资金和战略代表需要参与到安全计划中来平安管理自顶向下的方法盖房子确定蓝图构建房基构建框架装修,详细的房间的布置制定安全计划根据上级的主导思想和条款制定“蓝图”开发和执行支持这个安全策略的规程、标准和方针确定安全组件、构建安全过程详细的配置设置和系统参数自底向上的方法:在没有足够的管理层支持和知道的时候,IT部门荣祥指定安全计划,就可以使用自底向上的方法;自底向上的方法通产不会很有效,不占主流,而且往往会失败。自顶向下的方法:这个过程坚实系统性的,需要较少的时间、金钱和资源,而且能够在功能和安全保护之间达到合理的平和。平安管理和支持控制管理的、技术的和物理的控制相互协作物理控制:设备维护、平安防护、锁定、监控、环境控制、入侵检测技术控制:逻辑访问控制、加密、平安设备、鉴别和认证管理控制:战略、规范、规程、方针、屏蔽人员、平安认识培训公司数据和财富平安目的平安管理和支持控制安全指标管理控制:包括开发和发布策略、标准、规程以及准则、风险管理,此外还有赛选人员、安全意识培训和变更控制过程。技术控制:包括访问控制机制、密码和资源管理、鉴别和认证方法、按去哪设别以及配置基础架构物理控制:包括控制个人访问设施和各部门,锁定系统,取出不必需要的软驱和CD-ROM驱动器、保护设施、检测润亲以及环境控制。平安管理和支持控制平安的根本原那么安全原则可用性机密性完整性保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当的修改信息,保持信息内部和外部的一致性。可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。平安定义平安管理和支持控制脆弱性
脆弱性(Vulnerability)是一种软件、硬件或是过程缺陷,这种缺陷也许会给攻击者提供正在寻找的方便之门,这样他就能够进入某台计算机或某个网络,并在这个系统中对资源进行未经授权的访问。威胁威胁(Threat)是威胁因素利用错若星所造成的损失的潜能或是可能性。暴露暴露(Exposure)是因威胁因素而遭受损失的一个案例。对策对策(countermeasure)或者安全措施,可以减轻潜在的风险。平安措施要挟要素要挟脆弱性风险资产暴露引起利用导致可以破坏并且引起一个不可以被预防,经过直接作用到机构平安框架在网络中评价这些概念的正确顺序为:要挟、暴露、脆弱性、对策,最后为风险。这是由于:假设具有某种要挟〔新的SQL攻击〕,但是除非他所在公司存在对应的脆弱性〔采用必要配置的SQL效力器〕,否那么公司不会暴露在要挟之中,这也不会构成脆弱性。假设环境中确实存在脆弱性,就应该采取对应战略,以降低风险。平安管理和支持控制运用概念的顺序平安管理和支持控制平安框架总体平安性完好性可用性代价合理的处理方案平安措施对策法律责任平安认识系统可靠性战略和规程维护需求数据分级功能性评价定量和定性风险评价风险分析定义风险和要挟完好性完好性业务对象机构安全模型包括许多实体、保护机制、逻辑和物理组件、规程和配置组成这些因素在一起相互协作,能够为系统提供一定的安全级别。每个模型都是不相同的,但是所有的模型都分层;每层都为其上层提供支持并未下层提供保护。平安规划平安管理和支持控制安全规划可以分为三个不同的领域:战略、战术、运作规划。战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远,更加广阔,其期限可能长达五年。战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与战略计划相比,战略规划的时间更短,或者其远景时间更短。运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准确日期和时间表,以及如果完成这些目标的特别指导。日常目的或操作目的都集中在任务效率和面向义务的活动和说那个,这样才干保证公司的功能可以以一种平顺而且可以预见的方式实现。中期目的或战术目的,能够是将一切的任务站和资源都整合到一个地方,这样就可以实现集中控制。长期目的,或战略目的,能够会涉及到如下活动;将一切部门从公用通讯线路转移到帧中继方式,为一切的远程用户转杯IPsec虚拟公用网;〔VPN〕以替代拨号方式,向系统中整个带有必要平安措施是的无线技术。平安框架-Cobit平安管理和支持控制信息及相关技术控制目标(Cobit)是信息系统审计和控制协会(ISACA)与信息技术治理学院(ITGI)共同开发的一个框架。它定义用于正确管理IT并确保IT满足商业需求的控制目标。Cobit分为四个领域:计划和组织、获取和实施、交付和支持、监控和评估。每个类别又细分为两个子类。Cobit通过这些领域提供控制目标、控制实施、目标指示、性能指示、成功因素和成熟模型。他列出了一个完整的路线图,公司可以遵照路标完成这个模型中的所有34个控制目标。平安框架——COSO平安管理和支持控制控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产平安和职责分别。监视不断评价内部控制系统的表现。整合实时和独立的评价。管理层和监视活动。内部审计任务。控制环境营造单位气氛-让公司员工建立内部控制要素包括耿直,品德价值,才干,权威和责任是其他内部控制组成部分的根底信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得构成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制胜利的措施的信息流风险评价风险评价是为了到达企业目的而确认和分析相关的风险-构成内部控制活动的根底一切的五个部分必需同时作用才干使内部控制得以产生影响监控信息和沟通控制活动风险评价控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评价控制环境营运财务报告合规性业务单位A业务单位B活动2活动1coso是一个企业治理模型,而Cobit是一个IT治理模型。coso更多面向战略层面,而Cobit那么更关注运营层面。Cobit可以看作是满足许多coso目的的一种方法,但只能从it角度来看,由于coso还处置非IT工程,如公司文化、财务会计原那么、董事会责任和内部通讯构造。平安框架——ISO17799平安管理和支持控制ISO17799时最常用的规范,它由正式规范——英国规范7799〔BS7799〕开展而来。这个是一个世界公认的信息平安管理规范,他为企业平安提供高级概念化建议。它由两部分构成;第一部分是一个执行指点,由如何建立一个综合性的信息平安构造体系的指点方针组成;第二部分是一个审计指点,阐明一个遵守ISO17799的组织必需满足的要求。组织信息安全策略:详细说明公司安全目标、管理层的支持、安全目标和责任信息安全结构体系的建立:使用安全论坛、安全官员及通过定义安全责任、授权、过程、外包和独立检查,建立和维持一个组织化的安全结构资产分类与控制:通过审计和清单、分类及处理规程建立一个安全结构体系,保护组织资产人员安全:通过筛选员工、定义角色和责任、适当培训员工及记录未达到的预期的目标来降低人员交互的内在风险物理和环境安全:通过正确选择建筑设施位置、建立和维护一个安全周界、实施访问控制及保护设备来保护组织资产通信和运作管理:通过运作规程、正确的变更控制、事故处理、职责分割、产能规划、网络管理和媒介处理执行运作安全。访问控制:根据商业需求、用户管理、认证方法和监控来控制资产访问系统开发和维护:通过制定安全需求、加密、完整性和软件开发规程,在系统生命周期的所有阶段实现安全业务连贯性管理:通过使用联关系规划和测试避免对正常运作的破坏法律遵从:通过技术控制、系统审计和法律意识来遵守法规、合同和法令要求。平安框架——ITIL平安管理和支持控制效力设计效力战略效力转换效力运营产生财务投资组合需求效力目录效力级别可用性延续性供应商度量趋势分析报告改良事件(Event)事故(Incident)问题技术访问变卦资产&配置发布和部署有效性变卦资产&配置信息技术基础架构库(ITIL)是IT服务管理最佳实践的事实标准。ITIL是一个可定制的框架,他通过一套书籍或以在线个事提供目标、实现这些目标所需的日常活动,以及满足这些既定目标所需的每个流程的输入和输出值。Cobit定义IT目标,而ITIL则在流程曾面上就如何实现这些目标提供所需采取的步骤。平安框架——小结平安管理和支持控制Cobit和COSO提供“要实现什么〞,而不是“如何实现它〞,这就是ITIL和ISO17799存在的缘由。要实现什么CobitCOSOISO17799ITIL如何实现它平安管理平安治理平安治理〔SecurityGovernance〕在本质上非常类似于企业的IT治理,由于这三者在功能和目的上有重叠的地方。一切这三种治理都在公司的组织构造内进展,而且都以辅助确保公司的生存和开展为目的——只是偏重点不同。IT治理学院在<董事会参考之IT治理简介>第二版中对平安治理的定义。“治理是董事会和执行管理层履行的一组责任和实际,其目的在于提供战略指点,确保目的得以实现,封信啊得到适当管理,并证明切叶的资源得到合理的利用。〞这个定义完全正确,但它依然非常笼统,这更像一个战略性政策声明,然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实际。对于平安治理而言,必需有什么东西的到治理。一个组织必需执行的一切控制共同成为平安方案平安管理制定平安方案计划与组织实施运作和维护监控和评估优点:书面策略和规程无法和安全活动相对应,获得不到安全活动的支持。组织内努力保护公司财产的不同个人之间出现眼中分离和混乱没有办法评估进展和开支与资源分配的投资回报没有办法完全了解安全计划的缺陷,也不能用一种标准的方法来改善这些缺陷不能保证遵守法律、法规或策略完全依赖技术来解决所有安全问题拼错独立的解决方案,没有整体的企业解决方案对任何安全违规采用以一种“火警”式的方法,而不是一种平静、主动而探测性的方法。错误的安全意识,产生混乱的潜在倾向。平安方案是一个永不终止的生命周期;平安管理实施分配义务和责任指定和实施平安战略、规程、规范、基线和指点。确定静态和动态敏感数据。实施以下蓝图〔Blueprint〕资产确定和管理风险管理脆弱性管理法规服从身份管理和访问控制变卦控制软件开发声明周期业务衔接性规划认识和培训物理平安事故呼应实施每个蓝图的处理方案〔管理、技术、物理的〕。开发每个蓝图的审计和监控处理方案确定每个蓝图的目的、效力等级协议〔SLA〕和规范。方案和组织方案和组织确定管理承诺成立监视指点委员会评价业务推进力了解组织要挟概略进展风险评价在组织、运用软件、网络和组建鞥开发平安体系构造。确定每个体系构造层面的处理方案获得管理层的同意,以继续向前运作和维护遵照规程,确保一切极限在每个实施的蓝图中的到满足执行内部和外部审计执行每个蓝图中列出的义务管理每个蓝图的效力等级协议监控和评价每个蓝图的核对日志、审计结果、搜集的规范值和SLA评价每个蓝图的目的完成情况每季与指点委员会举行会议确定改提高骤,并将其整合到“方案和组织〞阶段平安管理平安框架蓝图整个企业中,遵循这些蓝图可实现标准化、简化标准收集和治理。这些蓝图应遵循最佳时间并符合ISO17799框架。图3-6说明了在制定一个安全计划时这些蓝图发挥作用的地方。平安管理商业需求私有企业私有企业能够在竞争中兴旺起来,是通过商品销售、可考的管理决策、了解最终用户、了解市场的潮流和动向达到的。对大多数私有企业来说,在三个安全服务指标(可用性、完整性和机密性),数据完整性和可用性通常比机密性更重要。军事机构军方也因为几百他们的竞争对手(其他国家)而发展壮大,这需要合理的训练、准备、智能化和指挥。在三个主要的安全服务指标中(可用性、完整性和机密性)机密性对于军方是最重要的。当然这就会使得军事组织实行更加严格的安全模型,他比私有组织更加强调安全性。信息风险管理风险是指破坏发生的能够性,以及破坏发生后的衍生情况。信息风险管理〔InformationRiskManagement,IRM〕指识别并评价风险、将它降低到可接受的程度、执行正确的机制来维持这种程度的过程。关键是在于识别这些要挟,估计他们实践发生的能够性以及他们能够呵斥的破坏,并采取恰当的措施,将环境的总体风险降低到组织以为可以接受的程度。风险管理概述几种常见风险类型自然损失:火灾,水灾、故意破坏、停电和自然灾害人为破坏:意外或有意行为,或可能降低生产效率的怠惰设备故障:系统或外围设备故障内部与外部攻击:黑客、破解与攻击行为。数据误用:共享商业秘密、欺骗、间谍活动和盗窃数据丢失:通过破坏性方法有意或无意造成信息丢失应用程序错误:计算错误、输入错误和缓冲区溢出。信息风险管理战略IRM策略主要内容IRM团队的目标公司可接受的风险水平,可接受风险的定义。识别风险的标准过程。IRM策略与机构的策略性规划过程之间的联系IRM承担的责任以及履行这些责任的职务风险与内部控制之间的关系响应风险分析、改变员工行为与资源分配的方法。风险与业绩目标及预算之间的关系检测控制效率的主要指标IRM战略为企业的风险管理过程及步骤提供根底架构,应处理包括人员选拔、内部要挟、物理平安与防火墙在内的一切信息平安问题。同时,它还应为IRM团队如何向高级管理层通报公司风险信息,以及如何执行管理层的风险弱化战略提供指点。恰当的风险管理需求高级管理层的鉴定承诺以及一个文本化流程,这个过程为机构的使命、IRM战略和委任的IRM团队提供支持。信息风险管理风险管理团队风险管理团队的目标由高级管理层提供明确的风险接受水平文本话的风险评估流程和步骤识别并避免风险的步骤由高级管理层适当分配资源和资金由评估证明有必要制定的应急计划对所有信息资产有关的员工进行安全意识培训有必要的,能够成立特殊领域内的改进(或风险弱化)团队制定出法律及法规遵从要求计划,以控制并履行这些要求制定衡量业绩指标,以测量并管理各种类型的风险能够随环境和公司变化而识别并评估风险综合IRM与组织的变化控制过程,保证这些变化不会形成新的风险。完成目的的必要的条件获得高级管理层的支持,从而对资源进展合理的调配。这个团队也需求一个指点,在大型组织内,这名成员运用50%~70%的时间来处置风险管理任务。管理层必需投入资金对此人进展必要的培训。为其提供风险工具,以确保风险管理任务的顺利进展。信息风险管理风险分析风险分析概念风险分析(实际上是一种风险管理工具)是识别风险及其可能造成的损失,从而调正安全防护措施的方法。风险分析的作用风险是威胁因素利用脆弱性损害系统或环境的可能性以及发生的频率。风险分析用来保证安全措施是划算的,并能适当而适时地对威胁做出反应。风险分析有4个目标标识财产和他面临的威胁识别脆弱性和威胁量化天灾威胁的商业影响在风险影响和对策费用之间达到预算的平衡风险分析提供了一种本钱/收益比,也就是用来维护公司免收要挟平安措施的费用和预料中的损失所需求的代价之间的比值。风险评估需要注意的内容:确定风险评估的范围;调研风险评估的规模以及资产的调研;大多数评估主要针对物理安全、技术安全或人员安全;
确定公司商业目标和安全目标需求;风险分析那个获得成功就需要得到高级管理层的支持和指导;必要的时间和资金来进行分析工作;必要的风险分析团队;信息风险管理风险分析团队要实现最有效的风险分析,就需求建立一个团队,这个团队的成员可以是管理人员、运用程序员、IT人员、审计员、系统及成员或者运转部经理,这个是必需的。样一切的风险才干被充分了解和量化。评估风险需要注意的问题可能会发生那些时间(威胁事件)?其潜在的影响(风险)是什么?他们多久发生一次(频率)?我们对前面三个问题的答案的正确性有多大的把握(确定性)?经过进展内部调查、访问或举行研讨会。可以搜集到许多类似的信息。信息风险管理信息风险管理资产价值资产可以被赋予定量和定性的度量,不过这些度量方法应该有根有据。资产定价的考虑因素:获取或开发该资产所需的成本维护和保护该资产所需要的成本该资产对所有者和用户所具有的价值该资产对竞争对手所具有的价值只是产权的价值其他人愿意为购买该资产所付出的价格在损失的情况下更换该资产所需的费用在该资产不可用的情况下损失的运行和工作能力。该资产贬值时的债务问题该资产的用处采取什么平安机制和应该破费多少资金来进展维护任务的第一步。确定一项资产的价值,还可以完成一个公司的其他假设该需求,包括下面这些。进展有效的本钱/收益分析选择特定的对策和平安措施决议保险责任范围了解什么东西正在面临风险资产包括有形资产〔计算机、设备、供应品〕或无形资产〔声誉、数据、知识产权〕。由于无形资产的价值会随着时间而变化,所以很难对其进展量化。信息风险管理要挟和脆弱性的关系威胁因素可能利用的脆弱性导致的威胁病毒缺少反病毒软件病毒感染黑客服务器上运行功能强大的服务对保密信息的非授权访问用户操作系统中配置错误的参数系统故障火灾缺少灭火器材设施和计算机损失,可能造成生命损害雇员松懈的访问控制;缺少审计损坏重要的关键信息;在数据处理应用程序中更改输入输出承包人松懈的访问控制机制盗窃商业机密攻击者写的很差的应用程序;缺少严格的防火墙设置造成缓冲区溢出;进行拒绝服务攻击入侵者缺少安全警卫打破窗户,盗窃计算机和设备识别要挟威胁源分析根据风险评估目标的业务特点、网络特点,对现实及潜在的威胁源进行分析,以了解目前主要的威胁源及可能的威胁影响。历史安全事件分析对风险评估目标历史发生的信息安全事件进行调研、统计与分析,以了解曾经发生的威胁及产生的威胁影响。实时入侵事件分析通过在重要网段部署入侵检测系统,对实时发生的网络安全入侵事件进行统计与分析,以了解当前发生的威胁及产生的威胁影响。信息风险管理风险分析常见方法风险分析方法NISTSP800-30和800-60方法,虽然最初设计这些方法是为了在医疗保健领域或其他收官显得行业使用。FRAP,即便利的风险分析过程。OCTAVE,他又卡梅隆大学软件工程学院设计,这种方法撞门为管理和指导公司信息安全风险评估的人员设计。CRAMM,这个碎屑词表示CCTA风险分析和管理方法。这种方法的实施过程与我们前面谈论的方法类似,但他分为3个部分:对策选择、威胁和脆弱性分析、资产估价与识别。生成树分析是一种影响某个系统的所有潜在的威胁和故障以树状加以描绘的风险评估方法。信息风险管理定量风险方法信息风险管理定量的方法是对策的成本和可能发生的损失大小用具体的数据数字进行量化。在识别威胁和风险的可能性的时候,定量的方法也能够提供具体的可能性百分比。定性的方法将考察各种风险的可能性情况,并将各种威胁的严重程度和财产的敏感程度排列顺序(一个全面的分析可能包含几百种情况)。平安管理风险分析的步骤1、给信息和资产赋予价值2、估计风险风险的潜在损失.3、进行威胁分析4、对每项威胁计算全部的潜在损失5、减小、转移、避免或是接受风险资产的价值是多少。维护需求多少本钱。资产的收益。对于竞争对手来说,他的价值是多少。重建和修复该资产需求多少费用。获取和开发该资产需求多少费用。资产损失,他要负多大的责任。会呵斥什么物理损失,这样带来多大的本钱。消费力损失多少,这会带来多大的本钱?假设严密信息被泄露,损失多少。恢复过来的本钱是多少。关键的设备出缺点,会带来损失。对每项风险和设备的事故计算单次损失期望值〔SLE〕。从每个部门的人员那里手机有关每种风险发生能够性的信息。检查过去的记录以及提供数据的官方平安资源。计算年发生概率〔ARO〕,也就是每种要挟在一年中能够发生的次数将潜在损失和能够性综合起来运用前3部中计算得到的信息,对每种要挟计算年损失期望值〔ALE〕为抵消每项风险选择补救措施为每项措施计算本钱/收益值减小风险分担风险:买保险从而将部分或全部风险转移接受风险:让分线存在,不花钱采取维护措施防止风险:终端危险的操作定量风险计算的相关概念信息风险管理资产价值×暴露引资(EF)=SLESLE×
年发生概率(ARO)=ALE单次损失期望值(SLE)和年损失期望值(ALE)。SLE是特定威胁发生的情况下,反映公司潜在损失数额的某个单独的事件所被赋予的财产损失。暴露因子代表一个是在的威胁对于某种特定的资产造成的损失百分比。年发生概率(ARO)是代表了一年中,某个特定威胁发生的可能性的值。定量风险计算的相关概念风险分析方法是定性分析,这种方法不对各个要素和损失赋予数值和货币价值。定性分析技术包括判别、直觉和阅历。定性分析技术的例子有Delphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一谈判以及采访。风险分析团队撰写了一页概略,阐明黑客攻击公司内部5太文件效力器访问呢严密信息的情况,并将它发给了预先选定的一个五人小组〔IT经理、数据库管理员、运用程序员、系统操作员和运转部经理〕。这个预先选定的团队对要挟的严重程度、潜在损失和每种平安措施的有效性,用1~5的等级进展排序,1代表最不严重、最不有效或最不能够。威胁=黑客访问保密信息威胁的严重性威胁发生的可能性给公司造成的潜在损失防火墙的有效性入侵检测系统的有效性蜜罐的有效性IT经理424432数据库管理员444341应用程序员233421系统操作员343421运行部经理544442结果3.63.43.63.831.4信息风险管理属性定量的定性的不需要计算
×需要更多的复杂计算×
设计大量猜想工作
×提供一般风险领域和指标
×更容易自动化评估×
用于风险管理性能追踪×
提供可信的成本/收益分析×
使用可验证而客观的标准×
提供了那些非常清楚这个过程的职员的意见
×指出了可能在一年之内招致的明确损失×
定量VS.定性定量方法缺陷评价方法及结果相对客观无法为本钱/收益分析建立货币价值用客观方法很难追踪风险管理目的没有相应的规范。每个供应商解释器评价过程和结果的方式各不一样定性方法缺陷计算更加复杂。管理层可以了解这些结果是怎样计算出来的吗?没有自动化的工具可供利用,这个过程完全需求手动完成需求做大量的根底性任务,手机与环境有关的详细信息没有相应的规范。每个供应商解释其评价过程和结果的方式各不一样。信息风险管理维护机制信息风险管理确定风险分析的计算后,下一步是确定现行的平安机制并评价他们的效果。平安措施运用的本钱/收益计算公式为:安全措施的成本因素:产品成本设计/计划成本开发成本呢环境修改预期他对策的兼容性维护需求检验需求修复、提花或省级何曾本运行/支持成本工作能力的有效性预定成本监控和相应警报所需的客户劳力解决这款新工具所早晨的问题的成本〔实行平安措施之前的ALE〕-〔实行平安措施之后的ALE〕-〔平安措施每年的费用〕=平安措施对公司的价值根底模块提供一致的维护提供否决功能默以为最小优先级平安措施及其维护的资产相互独立顺应性和功能用户交互用户和管理员之间的清楚界限最少的人为干涉资产维护容易晋级审计功能最小化对其他组件的依赖性容易被职员运用和接受,并能容忍错误必需产生可用和可以了解的输出必需可以重启平安措施可检测不引入其他危害系统和用户效能普遍运用恰当的警告不影响资产平安措施采购思索要素信息风险管理第1步第2步第3部指派资产和信息价值风险分析和评价选择和实施防护措施要进展一项风险分析,公司就因该决议应该维护那些财富以及维护的程度如何。还应该阐明维护详细的财富所需的钱数。应该评价依稀可用平安措施的功能,确定那些平安措施对环境最有力。然后评价一下平安差距、本钱,并作出比较。这些步骤和结果信息可以保证管理人员的选择和购买防护措施最初最明智和最有远见的决议。综合思索信息风险管理信息风险管理总风险VS.剩余风险威胁×脆弱性×资产价值=总风险(威胁×脆弱性×资产价值)×控制间隙=剩余风险威胁×脆弱性×资产价值=总风险(威胁×脆弱性×资产价值)×控制间隙=剩余风险剩余风险和
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 员工加班费计算及支付方式通知函(6篇)
- 携手防灾减灾共创平安社区小学安全教育主题班会
- 2026徐州医疗面试题目及答案
- 2026引进项目面试题及答案
- 2026年年度产品优化升级报告复函7篇
- 贵司供应链优化进度汇报函8篇
- 2026程序员面试题及答案
- 2026对口小学面试题及答案
- 2026火车高铁面试题及答案
- 2026年技术升级项目批准函(7篇)
- 2026贵州农商联合银行第二批社会招聘11人笔试参考题库及答案详解
- 2026年通信安全员(ABC证)考试题库(含答案)
- 2026世界无烟日:揭开烟草成瘾面纱
- 修订一单一库质量手册和程序文件参考文件
- 2022旅游景区气象灾害防御
- 装饰装修工程各工序的协调措施
- 高考英语3500个单词和短语
- 儿科常用药物
- 机组轴线旳测量和调整
- JJF 1844-2020连续性血液净化装置校准规范
- GB/T 21492-2019玻璃纤维增强塑料顶管
评论
0/150
提交评论