《信息安全管理技術(shù)》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全管理技術(shù)（48頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、信 息 安 全 管 理 技 術(shù)NO.:S310060074 NAME:谷 德 麗 信 息 安 全 管 理 引 入 與 內(nèi) 涵 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估信 息 安 全 等 級(jí) 保 護(hù)4123 4ISO信 息 安 全 管 理 標(biāo) 準(zhǔn)5 4信 息 安 全 法 規(guī)6主 講 內(nèi) 容信 息 安 全 規(guī) 劃 信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段：n 20世 紀(jì) 80、 90年 代 以 前 ， 面 對(duì) 信 息 交 換 過 程 中 存 在 的 安 全問 題 ， 人 們 強(qiáng) 調(diào) 的 主 要 是 信 息 的 保 密 性 和 完 整 性 ， 該 階 段稱 為 通 信 保 密 階 段 ；n 20世 紀(jì)

2、 80、 90年 代 ， 隨 著 計(jì) 算 機(jī) 和 網(wǎng) 絡(luò) 廣 泛 應(yīng) 用 ， 人 們 對(duì)信 息 安 全 的 關(guān) 注 已 經(jīng) 逐 漸 擴(kuò) 展 為 以 保 密 性 、 完 整 性 和 可 用性 為 目 標(biāo) ， 并 利 用 密 碼 、 認(rèn) 證 、 訪 問 控 制 、 審 計(jì) 與 監(jiān) 控 等多 種 信 息 安 全 技 術(shù) 為 信 息 和 信 息 系 統(tǒng) 提 供 安 全 服 務(wù) ， 該 階段 稱 為 信 息 安 全 階 段 ； 信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段n 20世 紀(jì) 90年 代 中 后 期 ， 由 于 互 聯(lián) 網(wǎng) 技 術(shù) 的 飛 速 發(fā) 展 ， 信 息對(duì) 內(nèi) 、 對(duì) 外 都 極 大 開 放

3、， 由 此 產(chǎn) 生 的 安 全 問 題 已 經(jīng) 不 僅 僅是 傳 統(tǒng) 的 保 密 性 、 完 整 性 和 可 用 性 三 個(gè) 方 面 ， 人 們 把 信 息主 體 和 管 理 引 入 信 息 安 全 ， 由 此 衍 生 出 諸 如 可 控 性 、 抗 抵賴 性 、 真 實(shí) 性 等 安 全 原 則 和 目 標(biāo) ， 信 息 安 全 也 從 單 一 的 被動(dòng) 防 護(hù) 向 全 面 而 動(dòng) 態(tài) 的 防 護(hù) 、 檢 測 、 響 應(yīng) 和 恢 復(fù) 等 整 體 建設(shè) 方 向 發(fā) 展 。 該 階 段 稱 為 信 息 安 全 保 障 階 段 。 信息安全技術(shù)是實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)；信息安全產(chǎn)品是實(shí)現(xiàn)信息安全的

4、工具平臺(tái)；信息安全管理是通過維護(hù)信息的機(jī)密性、完整性和可用性等，來管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制，是對(duì)信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過程。 信 息 安 全 管 理 引 入 與 內(nèi) 涵 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估信 息 安 全 等 級(jí) 保 護(hù)4123 4ISO信 息 安 全 管 理 標(biāo) 準(zhǔn)5 4信 息 安 全 法 規(guī)6主 講 內(nèi) 容信 息 安 全 規(guī) 劃 信 息 安 全 規(guī) 劃n信息安全規(guī)劃也稱為信息安全計(jì)劃，它用于在較高的層次上確定一個(gè)組織涉及信息安全的活動(dòng)，主要內(nèi)容：p安全策略p安全需求p計(jì)劃采用的安全措施p安全責(zé)任p規(guī)劃執(zhí)行時(shí)間表 信 息 安 全 管 理 引

5、入 與 內(nèi) 涵 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估信 息 安 全 等 級(jí) 保 護(hù)4123 4ISO信 息 安 全 管 理 標(biāo) 準(zhǔn)5 4信 息 安 全 法 規(guī)6主 講 內(nèi) 容信 息 安 全 規(guī) 劃 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 來 自 人 為 或 自 然 的 威 脅 ， 是 威 脅 利用 信 息 系 統(tǒng) 的 脆 弱 性 造 成 安 全 事 件 的 可 能 性 及 這類 安 全 事 件 可 能 對(duì) 信 息 資 產(chǎn) 等 造 成 的 負(fù) 面 影 響 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 評(píng) 估 ： 也 稱 信 息 安 全

6、風(fēng) 險(xiǎn) 分 析 ， 它 是 指 對(duì) 信 息 安 全威 脅 進(jìn) 行 分 析 和 預(yù) 測 ， 評(píng) 估 這 些 威 脅 對(duì) 信 息 資 產(chǎn)造 成 的 影 響 。 信 息 安 全 風(fēng) 險(xiǎn) 評(píng) 估 使 信 息 系 統(tǒng) 的 管 理 者 可 以 在考 慮 風(fēng) 險(xiǎn) 的 情 況 下 估 算 信 息 資 產(chǎn) 的 價(jià) 值 ， 為 管 理決 策 提 供 支 持 ， 也 可 為 進(jìn) 一 步 實(shí) 施 系 統(tǒng) 安 全 防 護(hù)提 供 依 據(jù) 。 信息安全建設(shè)的起點(diǎn)和基礎(chǔ)倡導(dǎo)一種適度安全信息安全建設(shè)和管理的科學(xué)方法分析確定風(fēng)險(xiǎn)的過程信息安全風(fēng)險(xiǎn)評(píng)估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與

7、 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估應(yīng)考慮的因素：信息資產(chǎn)的脆弱性信息資產(chǎn)的威脅及其發(fā)生的可能性信息資產(chǎn)的價(jià)值 已有安全措施 為 了 明 確 被 保 護(hù) 的 信 息 資 產(chǎn) ， 組 織 應(yīng) 列 出 與 信息 安 全 有 關(guān) 的 資 產(chǎn) 清 單 ， 對(duì) 每 一 項(xiàng) 資 產(chǎn) 進(jìn) 行 確 認(rèn) 和適 當(dāng) 的 評(píng) 估 。 為 了 防 止 資 產(chǎn) 被 忽 略 或 遺 漏 ， 在 識(shí) 別 資 產(chǎn) 之 前應(yīng) 確 定 風(fēng) 險(xiǎn) 評(píng) 估 范 圍 。 所 有 在 評(píng) 估 范 圍 之 內(nèi) 的 資 產(chǎn)都 應(yīng) 該 被 識(shí) 別 ， 因 此 要 列 出 對(duì) 組 織 或 組 織 的 特 定

8、 部門 的 業(yè) 務(wù) 過 程 有 價(jià) 值 的 任 何 事 物 ， 以 便 根 據(jù) 組 織 的業(yè) 務(wù) 流 程 來 識(shí) 別 信 息 資 產(chǎn) 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 在 列 出 所 有 信 息 資 產(chǎn) 后 ， 應(yīng) 對(duì) 每 項(xiàng) 資 產(chǎn) 賦 予 價(jià) 值 。 資 產(chǎn)估 價(jià) 是 一 個(gè) 主 觀 的 過 程 ， 而 且 資 產(chǎn) 的 價(jià) 值 應(yīng) 當(dāng) 由 資 產(chǎn) 的 所 有者 和 相 關(guān) 用 戶 來 確 定 ， 只 有 他 們 最 清 楚 資 產(chǎn) 對(duì) 組 織 業(yè) 務(wù) 的 重要 性 ， 從 而 能 夠 準(zhǔn) 確 地 評(píng) 估 出 資 產(chǎn) 的 實(shí) 際 價(jià)

9、值 。 為 確 保 資 產(chǎn) 估 價(jià) 的 一 致 性 和 準(zhǔn) 確 性 ， 組 織 應(yīng) 建 立 一 個(gè) 資產(chǎn) 的 價(jià) 值 尺 度 （ 資 產(chǎn) 評(píng) 估 標(biāo) 準(zhǔn) ） ， 以 明 確 如 何 對(duì) 資 產(chǎn) 進(jìn) 行 賦值 。 在 信 息 系 統(tǒng) 中 ， 采 用 精 確 的 財(cái) 務(wù) 方 式 來 給 資 產(chǎn) 確 定 價(jià) 值比 較 困 難 ， 一 般 采 用 定 性 分 級(jí) 的 方 式 來 建 立 資 產(chǎn) 的 相 對(duì) 價(jià) 值或 重 要 度 ， 即 按 照 事 先 確 定 的 價(jià) 值 尺 度 將 資 產(chǎn) 的 價(jià) 值 劃 分 為不 同 等 級(jí) ， 以 相 對(duì) 價(jià) 值 作 為 確 定 重 要 資 產(chǎn) 及 為 這 些 資

10、 產(chǎn) 投 入多 大 資 源 進(jìn) 行 保 護(hù) 的 依 據(jù) 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 故 意 破 壞 （ 網(wǎng) 絡(luò) 攻 擊 、惡 意 代 碼 傳 播 、 郵 件 炸彈 、 非 授 權(quán) 訪 問 等 ） 和無 意 失 誤 （ 如 誤 操 作 、維 護(hù) 錯(cuò) 誤 ）人 員 威 脅1 2 系 統(tǒng) 威 脅 環(huán) 境 威 脅3 4 自 然 威 脅識(shí)別產(chǎn)生威脅的原因 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 人 員 威 脅1 2 系 統(tǒng) 威 脅 環(huán) 境 威 脅3 4 自 然 威 脅識(shí)別產(chǎn)生威脅的原因 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估系 統(tǒng) 、 網(wǎng) 絡(luò) 或 服務(wù) 的 故 障 （ 軟 件

11、故 障 、 硬 件 故 障、 介 質(zhì) 老 化 等 ） 人 員 威 脅1 2 系 統(tǒng) 威 脅 環(huán) 境 威 脅3 4 自 然 威 脅電 源 故 障 、 污染 、 液 體 泄 漏、 火 災(zāi) 等識(shí)別產(chǎn)生威脅的原因 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 人 員 威 脅1 2 系 統(tǒng) 威 脅 環(huán) 境 威 脅3 4 自 然 威 脅洪 水 、 地 震、 臺(tái) 風(fēng) 、 滑坡 、 雷 電 等識(shí)別產(chǎn)生威脅的原因 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估威脅識(shí)別與評(píng)估的主要任務(wù) 威 脅 發(fā) 生 造 成 的 后果 或 潛 在 影 響評(píng)估威脅發(fā)生的可能性 威 脅 發(fā) 生

12、造 成 的 后 果 或 潛 在 影 響 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 威 脅 一 旦 發(fā) 生 會(huì) 造 成 信 息 保 密 性 、 完 整 性 和可 用 性 等 安 全 屬 性 的 損 失 ， 從 而 給 組 織 造 成 不 同程 度 的 影 響 ， 嚴(yán) 重 的 威 脅 發(fā) 生 會(huì) 導(dǎo) 致 諸 如 信 息 系統(tǒng) 崩 潰 、 業(yè) 務(wù) 流 程 中 斷 、 財(cái) 產(chǎn) 損 失 等 重 大 安 全 事故 。 不 同 的 威 脅 對(duì) 同 一 資 產(chǎn) 或 組 織 所 產(chǎn) 生 的 影 響不 同 ， 導(dǎo) 致 的 價(jià) 值 損 失 也 不 同 ， 但 損 失 的 程 度 應(yīng)以 資 產(chǎn) 的 相 對(duì) 價(jià) 值

13、（ 或 重 要 程 度 ） 為 限 。 僅 有 威 脅 還 構(gòu) 不 成 風(fēng) 險(xiǎn) 。 由 于 組 織 缺 乏 充 分的 安 全 控 制 ， 組 織 需 要 保 護(hù) 的 信 息 資 產(chǎn) 或 系 統(tǒng) 存在 著 可 能 被 威 脅 所 利 用 的 弱 點(diǎn) ， 即 脆 弱 性 。 威 脅只 有 利 用 了 特 定 的 脆 弱 性 或 者 弱 點(diǎn) ， 才 可 能 對(duì) 資產(chǎn) 造 成 影 響 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 p脆 弱 性 是 資 產(chǎn) 本 身 存 在 的 ， 威 脅 總 是 要 利 用 資 產(chǎn) 的 脆弱 性 才 能 造 成 危 害 。p資 產(chǎn) 的 脆 弱 性 具 有 隱 蔽 性

14、， 有 些 脆 弱 性 只 有 在 一 定 條件 和 環(huán) 境 下 才 能 顯 現(xiàn) 。p脆 弱 性 識(shí) 別 可 以 資 產(chǎn) 為 核 心 ， 即 根 據(jù) 每 個(gè) 資 產(chǎn) 分 別 識(shí)別 其 存 在 的 弱 點(diǎn) ， 然 后 綜 合 評(píng) 價(jià) 該 資 產(chǎn) 的 脆 弱 性 ； 也可 分 物 理 、 網(wǎng) 絡(luò) 、 系 統(tǒng) 、 應(yīng) 用 等 層 次 進(jìn) 行 識(shí) 別 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估系 統(tǒng) 、 程 序 和 設(shè) 備 中 存 在 的 漏 洞或 缺 陷 ， 如 結(jié) 構(gòu)設(shè) 計(jì) 問 題 和 編 程漏 洞 等 技 術(shù) 脆 弱 性1 2 操 作 脆 弱 性

15、管 理 脆 弱 性3軟 件 和 系 統(tǒng) 在 配置 、 操 作 及 使 用中 的 缺 陷 ， 包 括人 員 日 常 工 作 中的 不 良 習(xí) 慣 、 審計(jì) 或 備 份 的 缺 乏等 策 略 、 程 序 和規(guī) 章 制 度 等 方面 的 弱 點(diǎn) 。脆 弱 性 的 分 類 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估評(píng) 估 脆 弱 性 需 要 考 慮 的 因 素脆 弱 性 的 嚴(yán) 重 程 度 （ Severity） ；脆 弱 性 的 暴 露 程 度 （ Exposure） ， 即 被 威 脅 利 用 的 可能 性 P， 這 兩 個(gè) 因 素 可 采 用 分 級(jí) 賦 值 的 方 法 。 例 如 對(duì) 于 脆

16、弱 性 被 威 脅 利 用 的 可 能 性 可 以 分 級(jí) 為 ：非 常 可 能 = 4， 很 可 能 = 3， 可 能 = 2， 不 太 可 能 = 1， 不 可能 = 0。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 在 影 響 威 脅 事 件 發(fā) 生 的 外 部 條 件 中 ， 除 了 資產(chǎn) 的 弱 點(diǎn) ， 再 就 是 組 織 現(xiàn) 有 的 安 全 控 制 措 施 。 在 風(fēng) 險(xiǎn) 評(píng) 估 過 程 中 ， 應(yīng) 當(dāng) 識(shí) 別 已 有 的 （ 或 已計(jì) 劃 的 ） 安 全 控 制 措 施 ， 分 析 安 全 控 制 措 施 的 效 力 ，有 效 的 安 全 控 制 繼 續(xù) 保 持 ， 而 對(duì) 于

17、那 些 不 適 當(dāng) 的 控制 應(yīng) 當(dāng) 核 查 是 否 應(yīng) 被 取 消 ， 或 者 用 更 合 適 的 控 制 代替 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估對(duì) 系 統(tǒng) 開 發(fā) 、 維 護(hù) 和 使 用 實(shí) 施 管 理 的措 施 ， 包 括 安 全 策略 、 程 序 管 理 、 風(fēng)險(xiǎn) 管 理 、 安 全 保 障和 系 統(tǒng) 生 命 周 期 管理 等 管 理 性 安 全 控 制1 2 操 作 性 安 全 控 制 技 術(shù) 性 安 全 控 制3用 來 保 護(hù) 系 統(tǒng) 和 應(yīng) 用操 作 的 流 程 和 機(jī) 制 ，包 括 人 員 職 責(zé) 、 應(yīng) 急響 應(yīng) 、 事 件 處 理 ， 安全 意 識(shí) 培 訓(xùn) 、

18、 系 統(tǒng) 支持 和 操 作 、 物 理 和 環(huán)境 安 全 等 身 份 識(shí) 別 與 認(rèn)證 、 邏 輯 訪 問控 制 、 日 志 審計(jì) 和 加 密 等安 全 控 制 方 式 的 分 類(依 據(jù) 目 標(biāo) 和 針 對(duì) 性 分 類 ) 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 此類控制可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)威懾性安全控制1 2預(yù)防性安全控制檢測性安全控制3 4糾正性安全控制此類控制可以保護(hù)脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性安全控制此類控制可以將攻擊造成的影響降到最低安 全 控 制 方 式 的 分 類（

19、 依 據(jù) 功 能 分 類 ) 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 安全控制應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況利用引發(fā) 造成 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 風(fēng) 險(xiǎn) 評(píng) 價(jià) 就 是 利 用 適 當(dāng) 的 風(fēng) 險(xiǎn) 測 量 方 法 或 工具 確 定 風(fēng) 險(xiǎn) 的 大 小 與 等 級(jí) ， 對(duì) 組 織 信 息 安 全 管 理范 圍 內(nèi) 的 每 一 信 息 資 產(chǎn) 因 遭 受 泄 露 、 修 改 、 不 可用 和 破 壞 所 帶 來 的 任 何 影 響 做 出 一 個(gè) 風(fēng) 險(xiǎn) 測 量 的列 表 ， 以 便 識(shí) 別 與 選 擇 適 當(dāng) 和 正 確 的 安 全 控 制 方式 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí)

20、別 與 評(píng) 估 風(fēng)險(xiǎn)度量的目的是明確當(dāng)前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 該 方 法 利 用 威 脅 發(fā) 生 的 可 能 性 、 脆 弱 性 被 威 脅 利 用 的 可 能 性 及 資 產(chǎn) 的 相對(duì) 價(jià) 值 三 者 預(yù) 定 義 的 三 維 矩 陣 來 確 定 風(fēng) 險(xiǎn) 的 大 小 。威脅發(fā)生的可能性P T低 0中 1高 2脆弱性被利用的可能性PV低 0中 1高 2低 0中 1高 2低 0中 1高 2資產(chǎn)相對(duì)價(jià)值V 0 0 1 2 1 2 3 2 3 41 1 2 3 2 3 4 3 4 52 2 3 4 3 4 5 4 5 63 3

21、4 5 4 5 6 5 6 74 4 5 6 5 6 7 6 7 82+1+2=5 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 該 方 法 把 風(fēng) 險(xiǎn) 對(duì) 資 產(chǎn) 的 影 響 與 威 脅 發(fā) 生 的 可 能 性 聯(lián) 系 起 來 ，常 用 于 考 察 和 比 較 威 脅 對(duì) 組 織 資 產(chǎn) 的 危 害 程 度 。第 一 步 ： 按 預(yù) 定 義 的 尺 度 ， 評(píng) 估 風(fēng) 險(xiǎn) 對(duì) 資 產(chǎn) 的 影 響 即 資 產(chǎn) 的 相 對(duì) 價(jià) 值 I， 例 如 ， 尺 度 可 以 是 從 1到 5；第 二 步 ： 評(píng) 估 威 脅 發(fā) 生 的 可 能 性 PT， PT也 可 以 用 PTV（ 考 慮 被 利 用 的

22、 脆 弱 性 因 素 ） 代 替 ， 例 如 尺 度 為 1到 5 ；第 三 步 ： 測 量 風(fēng) 險(xiǎn) 值 R， R = R（ PTV ， I） = PTV I ；該 方 法 把 風(fēng) 險(xiǎn) 對(duì) 資 產(chǎn) 的 影 響 與 威 脅 發(fā) 生 的 可 能 性 聯(lián) 系 起 來 ，常 用 于 考 察 和 比 較 威 脅 對(duì) 組 織 資 產(chǎn) 的 危 害 程 度 。方 法 的 實(shí) 施 過 程 是 ： 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估威 脅影響（資產(chǎn)價(jià)值I）威脅發(fā)生的可能性PTV風(fēng)險(xiǎn)R威脅的等級(jí)威脅A 5 2 10 2威脅B 2 4 8 3威脅C 3 5 15 1威脅D 1 3 3 5 威脅E 4 1 4

23、4威脅F 2 4 8 3R = PTV I=3 5=15 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估R = V （ 1 - PD） （ 1 - PO）其 中 ：V系 統(tǒng) 的 重 要 性 ， 是 系 統(tǒng) 的 保 密 性 C、 完 整 性 I和 可 用 性 A三 項(xiàng) 評(píng) 價(jià) 值 的 乘 積 ， 即 V = C I A； PO防 止 威 脅 發(fā) 生 的 可 能 性 ， 與 用 戶 的 個(gè) 數(shù) 、 原 先 的 信 任 、備 份 的 頻 率 以 及 強(qiáng) 制 安 全 措 施 需 求 的 滿 足 程 度 有 關(guān) ； PD防 止 系 統(tǒng) 性 能 降 低 的 可 能 性 ， 與 組 織 已 實(shí) 施 的 保 護(hù)

24、性 控制 措 施 有 關(guān) 。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估網(wǎng)絡(luò)系統(tǒng)名稱保密性 C完整性IN可用性A網(wǎng)絡(luò)系統(tǒng)重要性V防止威脅發(fā)生P O防止系統(tǒng)性能降低PD風(fēng)險(xiǎn)R風(fēng)險(xiǎn)排序管理1 3 2 6 0.1 0.3 3.78 2工程2 3 2 12 0.5 0.5 3.00 3電子商務(wù)3 3 2 18 0.3 0.3 8.82 1V = CIA=232=12 R = V（1 - PD）（1 - PO）=12 （1-0.5） （1-0.5）=3.00 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn) 評(píng) 估 人 員 通 過 以 上 評(píng) 估 得 到 了 不同 信 息 資 產(chǎn) 的

25、風(fēng) 險(xiǎn) 等 級(jí) ， 他 們 在 這 一 步 驟 中 根 據(jù) 風(fēng)險(xiǎn) 等 級(jí) 和 其 他 評(píng) 估 結(jié) 論 ， 結(jié) 合 被 評(píng) 估 組 織 當(dāng) 前 信 息安 全 防 護(hù) 措 施 的 狀 況 ， 為 被 評(píng) 估 組 織 提 供 加 強(qiáng) 信 息安 全 防 護(hù) 的 建 議 。 n為便于系統(tǒng)所有單位實(shí)施自評(píng)估，基于現(xiàn)有評(píng)估方法，開發(fā)了風(fēng)險(xiǎn)評(píng)估管理軟件。n將各類風(fēng)險(xiǎn)判據(jù)、評(píng)分依據(jù)、檢查列表集成在系統(tǒng)中，為系統(tǒng)所有者實(shí)施的風(fēng)險(xiǎn)自評(píng)估提供幫助。n力圖做到：信息采集規(guī)范、判別符合標(biāo)準(zhǔn)、風(fēng)險(xiǎn)計(jì)算一致、輸出結(jié)果完整。 n經(jīng)非專業(yè)人員試用，基本達(dá)到專業(yè)評(píng)估人員的評(píng)估效果。 信 息 安 全 風(fēng) 險(xiǎn) 識(shí) 別 與 評(píng) 估 系統(tǒng)脆弱性管理界面 風(fēng)險(xiǎn)系數(shù)的計(jì)算風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)分類統(tǒng)計(jì)基礎(chǔ)數(shù)據(jù)的管理輸出各類報(bào)表 The EndThanks For Your Attention