版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、国家(上海)信息安全工程技术研究中心 上海世博会信息化安全性检测与评估技术联合实验室 2010年9月,信息安全风险管理,主要内容,风险与风险管理,风险(Risk)在信息安全领域讲,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。,风险评估(Risk Assessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。,风险管理的形象描述,系统基本风险,采取措施后残余风险,安全成本与利益的平衡,绝对安全是不现实的 寻求达到安全目标
2、与安全成本的平衡,风险管理的实际操作流程,风险评估是风险管理过程中的关键步骤,风险评估的一般方法,定量风险评估:试图从数字上对安全风险进行分析评估的一种方法。 定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。,风险评估量化计算模型,渗透测试模型,国内外信息安全发展现状(标准体系),国内 等级保护体系(GB 17859) 信息安全保障体系(GB/T 20274) ,国际 技术体系(RFC、NIST-SP800) 管理体系(ISO27001/ISO27002) 评估体系(ISO15408) ,ISO27001-风险管理的过程模型,应用于ISMS过程的PDCA模型,计划:建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总体方针和总体目标一致的结果。 实施:实施和运行ISMS方针、控制措施和规程。 检查:基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,已持续改进ISMS。 处置:对照ISMS方针、目标和实践经验,评估并
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 冥想课件介绍语
- 2025年广西贺州市平桂管理区平桂高级中学物理高一下期末监测模拟试题含解析
- 二零二五年IDC数据中心区块链技术服务合同
- 二零二五年度安全标准鸡苗运输安全管理合同
- 二零二五版车床租赁与设备租赁期内的维护责任协议
- 二零二五版专业旅游包车服务合同规范
- 2025年度餐饮连锁品牌合作协议
- 二零二五年环境监测与污染防控技术咨询合同
- 二零二五年度能源审计EMC合同能源管理服务协议
- 二零二五年度安全生产信息化建设责任合同书范本
- 语文●全国甲卷丨2021年普通高等学校招生全国统一考试语文试卷及答案
- 中储粮入围协议书
- 食品标识管理办法解读与应用
- 空气能维保合同协议
- 儒家视角下的文明交流与互鉴探讨
- 2025-2030机器人操作系统行业市场现状供需分析及重点企业投资评估规划分析研究报告
- 农家院租赁合同8篇
- 矿物加工余热发电技术-全面剖析
- 2025时政试题及答案(100题)
- GB/T 45365-2025纺织品保湿效果的测定蒸发热板测微气候法
- 医院人力资源部门年终总结
评论
0/150
提交评论