信息系统的安全风险评估关注的要素何为信息—课程中心—湖南大学.ppt

下载文档

4
0
约5.56千字
约 38页
2018-06-08 发布于四川
举报
版权申诉
保障服务

信息系统的安全风险评估关注的要素何为信息—课程中心—湖南大学.ppt

1、本文档共38页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

9.5 涉密信息系统风险评级与处置 * 评测结果判据评测项目分为基本要求项和一般要求项基本要求项?高风险一般要求项?低风险检测项目结果判据如果一个大项中所有小项均为“合格”，则该大项为“合格” 如果一个大项中“不合格”的小项超过40%，则该大项为“不合格” 除上述以外的其他情况，均为“基本合格” 9.5 涉密信息系统风险评级与处置 * 评测结果判据检测结论判据基本要求项中有一个大项“不合格”，检测结论“不合格” 基本要求项中60%（含）“合格”，其他基本要求项为“基本合格”，且一般要求项中60%以上（含）“合格”，检测结论即为“合格” 除上述两种情况以外的其他情况，检测结论即为“基本合格” 9.5 涉密信息系统风险评级与处置 * 评测结果判据检测意见、专家评估意见与评测结论的关系检测意见认为“不合格”，待整改复测后，再召开专家评估会进行评估检测意见认为“合格”，专家评估意见为“基本合格”，则评测结论为“基本合格” 检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后，再给出评测结论 9.5 涉密信息系统风险评级与处置 * 风险处置检测意见为“不合格”，即表示存在风险需要针对评测项目，采取相应的技术或非技术措施进行专项整治，切实降低风险。风险处置后，需要重新评估，直至达标为止风险处置需要注意目的是降低风险，使残余风险在可接受的范围之内即可要严防采取风险控制措施本身而带来新的风险 9.6 涉密信息系统安全必威体育官网网址风险评估的方法 * 风险评估的三种形式自我评估本机构信息系统安全管理人员进行评估自查自纠专业性和客观性差委托评估委托具有相应资质的评估单位进行评估专业性、公证性和客观性较强对于评估可能引入的新风险，要加强控制 9.6 涉密信息系统安全必威体育官网网址风险评估的方法 * 风险评估的三种形式检查评估信息系统拥有者的上级机关进行评估专业性、公证性和客观性较强一般不会引入评估带来的新的风险 9.6 涉密信息系统安全必威体育官网网址风险评估的方法 * 涉密信息系统的风险评估自我评估涉密信息系统的拥有者进行评估是安全风险评估的主要方式检查评估国家必威体育官网网址局涉密信息系统安全必威体育官网网址测评中心进行评估可在已建涉密信息系统安全改进方案之前进行，作为方案涉及的依据可在已建涉密信息系统审批运行之前进行，作为必威体育官网网址局审批的依据可在已建涉密信息系统开通运行一段时间之后进行，作为控制新的安全风险的依据彭飞湖南大学国家必威体育官网网址学院 eepengf@ Q A * 彭飞湖南大学国家必威体育官网网址学院 eepengf@ 第9章涉密信息系统的安全风险管理 * 内容提要信息系统安全风险理论的基本概念信息安全风险管理体系涉密信息系统的安全风险评估涉密信息系统安全必威体育官网网址风险评估的实施涉密信息系统风险评级与处置 * 概述信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期信息安全的本质在于风险管理信息安全风险管理的核心是风险评估 * 9.1 信息系统安全风险理论的基本概念 * 信息安全风险的定义 NIST SP 800-30：风险就是给定的威胁源攻击一个特定潜在弱点的可能性，以及此风险对事件对机构产生的影响 ISO Guide 73:2002：风险为某事件发生的可能性及其后果的结合 OCTAVE method：风险就是遭到破坏或者收到损失的可能性，指一个人作出不受欢迎的事情，或自然发生的、可能导致不良后果的情况 SSE-CMM：将风险定义为有害事件发生的可能性 9.1 信息系统安全风险理论的基本概念 * 信息安全风险辨析信息安全事件发生的可能性是信息安全风险的重要特征信息系统的安全风险是一种潜在的、尚未发生但可能发生的安全事件任何信息系统都有安全风险安全的信息系统是指信息系统在实施了风险评估并作出风险控制后，仍然存在的残余风险可被接收的信息系统 9.1 信息系统安全风险理论的基本概念 * 信息系统的安全风险评估关注的要素使命：一个组织机构通过信息化形成的能力来进行的工作任务资产：逻辑资产，非物质化的智力财富；物理资产，实物资产价值：资产的重要程度威胁：指一个威胁源攻击（偶然触发或故意破坏）一个具体弱点潜在的可能性人为威胁：人为故意行为造成的威胁和人为的非故意行为造成的威胁自然威胁：系统故障威胁或自然灾害威胁 9.1 信息系统安全风险理论的基本概念 * 信息系统的安全风险评估关注的要素脆弱性：指信息系统及其防护措施在安全流程、涉及、实现、配置或内部控制中的不足或缺陷技术脆弱性：技术方面的因素造成的弱点，如OS的漏洞等。又分为设计弱点/实现弱点/配置弱点结构脆弱性：信息系统网络在拓扑结构的设计、布局等方面存在的缺陷组织脆弱性：系统运行的物理环境、组织制度、业务策略、人