汇报人:贾武汇报人:贾武主要内容主要内容风险评估各阶段工作及成果风险评估手段介绍风险评估方法介绍本次风险评估工作安排4信息安全风险评估简介2351主要内容主要内容风险评估各阶段工作及成果风险评估手段介绍风险评估方法介绍本次风险评估工作安排4信息安全风险评估简介2351信息安全风险评估信息安全风险评估信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响
信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险
——《信息安全风险评估指南》风险评估基本要素风险评估基本要素安全措施抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加加依赖增加导出演变未被满足未控制可能诱发残留成本资产资产价值信息安全风险评估简介—风险评估概述《信息技术安全性评估准则》(ISO15408:1999-GB/T18336:2001);《信息安全风险评估指南》(国家标准征求意见稿);《信息安全风险管理指南》(国家标准征求意见稿);OCTAVE—OperationCriticalThreat,Asset,andVulnerabilityEvaluation
由美国卡内基
梅隆大学软件学院开发的风险评估方法;《信息技术信息安全管理实用规则》(ISO17799);《信息技术-IT安全管理指南》(ISO13335);《信息技术系统风险管理指南》(NISTSP800-30)信息安全风险评估简介—风险评估标准体系规范性可控性最小影响整体性保密性标准性信息安全风险评估简介—风险评估