freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

信息安全體系風險評估-(編輯修改稿)

2025-03-17 17:37 本頁面
 

【文章內容簡介】 工具軟件等 源程序 :各種共享源代碼、自行或合作開發(fā)的各種代碼等 硬件 網絡設備 :路由器、網關、交換機等 計算機設備 :大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等 存儲設備 :磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等 傳輸線路 :光纖、雙絞線等 保障設備 : UPS、變電設備等、空調、保險柜、文件柜、門禁、消防設施等 安全保障: 防火墻、入侵檢測系統(tǒng)、身份鑒別等 其他 :打印機、復印機、掃描儀、傳真機等 資產分類方法 分類 示例 服務 信息服務 :對外依賴該系統(tǒng)開展的各類服務 網絡服務 :各種網絡設備、設施提供的網絡連接服務 辦公服務 :為提高效率而開發(fā)的管理信息系統(tǒng) ,包括各種內部配置管理、文件流轉管理等服務 人員 掌握重要信息和核心業(yè)務的人員 ,如主機維護主管、網絡維護主管及應用項目經理等 其它 企業(yè)形象、客戶關系等 資產識別模型 網絡層 機房、通信鏈路 網絡設備 1 操作系統(tǒng)、主機設備 軟件 OA 人員、文檔、制度 業(yè)務層 物理層 主機層 應用層 管理層 EAI/EIP 工程管理 物資管理 生產管理 營銷系統(tǒng) 人力資源 綜合管理 操作系統(tǒng)、主機設備 網絡設備 2 數(shù)據(jù) 軟件 軟件 軟件 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù)層 資產保密性賦值 資產完整性賦值 資產可用性賦值 資產等級計算公式 AV=F(AC,AI,AA) Asset Value 資產價值 Asset Confidentiality 資產保密性賦值 Asset Integrity 資產完整性賦值 Asset Availability 資產可用性賦值 例 1: AV=MAX(AC,AI,AA) 例 2: AV=AC+AI+AA 例 3: AV=AC AI AA 資產價值賦值 威脅來源列表 來源 描述 環(huán)境因素 斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外 事故等環(huán)境危害或自然災害 ,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障 人為因素 惡意人員 不滿的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞 。采用自主或內外勾結的方式 盜竊機密信息或進行篡改 ,獲取利益 外部人員利用信息系統(tǒng)的脆弱性 ,對網絡或系統(tǒng)的機密性、完整性和可用性進行破 壞 ,以獲取利益或炫耀能力 非惡意人員 內部人員由于缺乏責任心 ,或者由于不關心和不專注 ,或者沒有遵循規(guī)章制度和操 作流程而導致故障或信息損壞 。內部人員由于缺乏培訓、專業(yè)技能不足、不具備崗 位技能要求而導致信息系統(tǒng)故障或被攻擊。 威脅分類表 威脅賦值 脆弱性識別 內容表 風險分析原理 L F R 風險值 =R(A,T,V)= R(L(T,V),F(Ia,Va )) 其中 ,R 表示安全風險計算函數(shù) 。 A 表示資產 。T 表示威脅 。V 表示脆弱性 。 Ia 表示安全事件所作用的資產價值 。Va 表示脆弱性嚴重程度 。 L 表示威脅利用資產的脆弱性導致安全事件發(fā)生的可能性 。 F 表示安全事件發(fā)生后產生的損失。 一般風險計算方法: 矩陣法和相乘法 風險計算方法 矩陣法 矩陣法風險計算 風險等級表 43 ? 降低風險( Reduce Risk) —— 采取適當?shù)目刂拼胧﹣斫档惋L險,包括技術手段和管理手段,如安裝防火墻,殺毒軟件,或是改善不規(guī)范的工作流程、制定業(yè)務連續(xù)性計劃,等等。 ? 避免風險( Avoid Risk) —— 通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生,如將公司內外網隔離以避免來自互聯(lián)網的攻擊,或是將機房安置在不可能造成水患的位置,等等。 ? 轉移風險( Transfer Risk) —— 將風險全部或者部分地轉移到其他責任方,例如購買商業(yè)保險。 ? 接受風險( Accept Risk) —— 在實施了其他風險應對措施之后,對于殘留的風險,組織可以有意識地選擇接受。 風險處置策略 44 ? 絕對安全(即零風險)是不可能的。 ? 實施安全控制后會有殘留風險或殘存風險( Residual Risk)。 ? 為了確保信息安全,應該確保殘留風險在可接受的范圍內: ? 殘留風險 Rr = 原有的風險 R0 - 控制 ΔR ? 殘留風險 Rr ≤ 可接受的風險 Rt ? 對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據(jù)風險評估的結果來確定一個閥值,以該閥值作為是否接受殘留風險的標準。 殘留風險評價 等級保護下風險評估實施框架 保護對象劃分和定級 網絡系統(tǒng)劃分和定級 資產 脆弱性 威脅 風險分析 基本安全要求 等級保護管理辦法、指南 信息安全政策、標準、法律法規(guī) 安全需求 風險列表 安全規(guī)劃 風險評估 結合等保測評的風險評估流程 47 風險評估項目實施過程 計劃 準備 實施 報告 跟蹤 48 風險評估常用方法 ? 檢查列表:評估員根據(jù)自己的需要,事先編制針對某方面問題的檢查列表,然后逐項檢查符合性,在確認檢查列表應答時,評估員可以采取調查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。 ? 文件評估:評估員在現(xiàn)場評估之前,應該對受評估方與信息安全管理活動相關的所有文件進行審查,
點擊復制文檔內容
試題試卷相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1