- 1、本文档共83页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全风险评估概述;1 信息安全风险评估发展概况;1.1 美国信息安全风险评估发展概况; 表5-1 风险评估发展过程;1.1 美国信息安全风险评估发展概况;1 信息安全风险评估发展概况;2 信息安全风险评估的目的和意义;2 信息安全风险评估的目的和意义;3.信息安全风险评估是需求主导和突出重点原则的具体体现
风险是客观存在的,试图完全消灭风险或完全避免风险是不现实的,要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度,以及在信息化建设不同阶段的信息安全要求,坚持从实际出发、需求主导、突出重点、分级防护,科学评估风险并有效地控制风险。
4.信息安全风险评估是组织机构实现信息系统安全的重要步骤
通过信息安全风险评估,可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害,分析信息系统的安全需求,找出目前的安全策略和实际需求的差距,提供严谨的安全理论依据和完整、规范的指导模型。;3 信息安全风险评估的原则;3.最小影响原则
从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。
4.必威体育官网网址原则
与评估对象签署必威体育官网网址协议和非侵害性协议,要求参与评估的单位或个人对评估过程和结果数据严格必威体育官网网址,未经授权不得泄露给任何企业和个人。
;4 信息安全风险评估的概念;4 信息安全风险评估的概念;4.3 信息安全风险评估的两种方式;4.4 信息安全风险评估的分类;4.4 信息安全风险评估的分类;5 国外信息安全风险评估标准;5.1 OCTAVE;其核心是自主原则,即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责,而不只是IT部门的职责。组织内部的人员需要负责信息安全评估活动,并对改进信息安全的工作做出决策。
OCTAVE使组织能够理清复杂的组织问题和技术问题,了解安全问题,改善组织的安全状况并解决信息安全风险,而无需过分依赖外部专家和厂商。OCTAVE包括两种具体方法:面向大型组织的OCTAVE Method和面向小型组织的OCTAVE-S。
;5.1.2 OCTAVE Method;OCTAVE Method包括3个阶段8个过程:
第1阶段:建立基于资产的威胁配置文件
第2阶段:识别基础设施的薄弱点
第3阶段:开发安全策略和计划 ;第一阶段主要由4个过程组成:
· 过程1:收集高层管理部门的观点。参与者为组织的高层管理人员;
· 过程2:收集业务区域管理部门的观点。参与者为组织业务区域(即中层管理部门)的经理;
· 过程3:收集员工的观点。参与者是组织的一般员工,信息技术部门的员工通常与一般的员工分开,参与一个独立的讨论会;
· 过程4: 建立威胁配置文件。包括整理过程1~过程3中所收集的信息、选择关键资产、提炼关键资产的安全需求、标识对关键资产构成影响的威胁等工作。
通用的配置文件是基于关键资产的威胁树。; 第二阶段中,对当前信息基础设施的评价,包括数据收集和分析活动。
本阶段主要由2个过程组成:
·过程5:识别关键单元,包括识别结构单元的种类、识别要分析的基础设施的结构单元等;
·过程6:评估选定的单元,包括对选定的基础设施的结构单元进行薄弱点检查、对技术薄弱点进行评审并总结。; 第三阶段:开发安全策略和计划
第3阶段旨在理解迄今为止在评估过程中收集到的信息,即分析风险。
本阶段主要由2个过程组成:
·过程7:执行风险分析,包括识别关键资产的威胁所产生的影响、制定风险评估标准、评估关键资产的威胁所产生的影响等;
·过程8:开发保护策略,评估小组开发整个组织的保护策略,该策略注重于提高组织的安全实践,以及关键资产的重要风险的削减计划。 ;5.1.3 OCTAVE-S; 1.第1阶段:建立资产的威胁描述文件
本阶段主要由2个过程组成:
· 过程S1:收集组织信息。分析小组应识别与组织重要信息相关的资产,确定一组评估标准,并定义组织当前的安全实践状况;
· 过程S2: 建立威胁描述。分析小组应选择3~5个关键信息资产,并为每个关键信息资产定义相应的安全要求和威胁描述文件。; 2.第2阶段:识别基础设施的薄弱点
本阶段主要由1个过程组成:
过程S3:检查与关键信息资产相关的的计算基础设施。分析小组对关键资产的支持系统中的访问路径进行分析,并确定这些技术措施对关键资产的保护程度; ; 3.第3阶段:开发安全策略和计划
本阶段主要由2个过程组成:
·过程S4:确定和分析风险。分析小组就风险所产生的影响、发生的可能性进行评估;
·过程S5:开发保护策略和风险降低计划。评估小组根据实际情况,开发一个整个组织范围的的保护策略和风险
文档评论(0)