1、第二章 信息安全 风险评估风险评估信息安全风险评估概述信息安全风险评估策略信息安全风险评估流程信息安全风险评估方法风险评估案例风险评估概述信息安全风险评估概述风险评估概述A风险因风险因子子B风险因风险因子子隐患:隐患: 内部失控内部失控事故事故外部作用外部作用产生了产生了人们不人们不期望的期望的后果后果超出超出设定设定安全安全界限界限的状的状态、态、行为行为风险评估概述系统系统减少:人的减少:人的不安全行为不安全行为改变:环境改变:环境不安全条件不安全条件减少:物的减少:物的不安全状态不安全状态消除:管消除:管理缺陷理缺陷预防减少事故预防减少事故降低事故损失降低事故损失安全风险管理目标安全风险
2、管理目标风险评估概述信息安全风险评估风险( Risk) : 特定威胁利用某一资产或一组资产的脆弱性,从而对资产产生损害的可能性。风险评估概述信息安全风险评估风险评估概述信息安全风险评估风险评估( Risk Assessment) : 是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。风险评估概述信息安全风险评估信 息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据 (国信 办 20065号文件 ) 。风险评估概述信息安全风险评估信息安全风险评估 是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。
