freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

培訓資料風險評估與管理(79頁)-管理培訓(參考版)

2024-08-22 18:18本頁面
  

【正文】 中管網(wǎng)制造業(yè)頻道 ? 一次成功的風險管理計劃取決于: ? 高層管理部門的支持; ? 信息團隊的全力支持與參與; ? 風險評估團隊的能力; ? 用戶的意識和合作; ? 對與信息相關的使命風險進行持續(xù)的評價和評估。 ? 委托評估 指信息系統(tǒng)使用單位委托具有風險評估能力的專業(yè)評估機構(國家建立的測評認證機構或安全企業(yè))實施的評估活動。 中管網(wǎng)制造業(yè)頻道 ? 根據(jù)評估方與被評估方的關系,他們和信息資產(chǎn)的關系分為: ? 自評估 是信息系統(tǒng)擁有者依靠自身力量,對自有的信息系統(tǒng)進行的風險評估活動。基于這些方法,開發(fā)出了一些工具,如CRAMM、 CORBA等,這些工具統(tǒng)稱為風險評估工具。 ? 但是隨著人們對信息資產(chǎn)的深入理解,發(fā)現(xiàn)信息資產(chǎn)不只包括存在于計算機環(huán)境中的數(shù)據(jù)、文檔,信息在組織中的各種載體中傳播,包括紙質(zhì)載體、人員等,因此信息安全包括更廣泛的范圍。 中管網(wǎng)制造業(yè)頻道 風險評估工具 ? 目前對風險評估工具的分類還沒有一個統(tǒng)一的理解。 ? 詳細風險評估方法 ? 詳細的風險評估就是對資產(chǎn)、威脅和脆弱性進行詳細的識別與評價,詳細的風險評估結果被用于風險評估和安全控制措施的識別和選擇。 風險處理過程結束! 中管網(wǎng)制造業(yè)頻道 風險評估與管理 1. 與風險評估和風險管理相關的概念解析 2. 信息安全風險管理的一般過程 3. 風險評估與風險管理的其它問題 中管網(wǎng)制造業(yè)頻道 3 風險評估與風險管理的其它問題 風險評估的角色和責任 風險評估方法 風險評估工具 風險評估模式分析 風險評估與等級保護、認證認可的關系 中管網(wǎng)制造業(yè)頻道 風險評估的腳色和責任 ? 信息系統(tǒng)風險評估的參與角色一般有主管機關、信息系統(tǒng)擁有者、信息系統(tǒng)承建者、信息系統(tǒng)安全評估服務機構、信息系統(tǒng)的關聯(lián)者(即因信息系統(tǒng)互聯(lián)、信息交換和共享、系統(tǒng)采購等行為與該系統(tǒng)發(fā)生關聯(lián)的機構)。 中管網(wǎng)制造業(yè)頻道 信息安全風險處理的過程(續(xù)) ? 步驟 7: 實現(xiàn)所選擇的安全防護措施 ? 根據(jù)各自情況的不同,所實現(xiàn)的安全控制可以降低風險級但不會根除風險。 中管網(wǎng)制造業(yè)頻道 信息安全風險處理的過程(續(xù)) ? 步驟 5: 責任分配 ? 遴選出那些擁有合適的專長和技能,可實現(xiàn)所選安全防護措施的人員(內(nèi)部人員或外部合同商),并賦以相應責任。 中管網(wǎng)制造業(yè)頻道 信息安全風險處理的過程(續(xù)) ? 步驟 3: 實施成本效益分析 ? 為了幫助管理層做出決策并找出成本有效性最好的安全控制,要實施成本效益分析。在這一步中,要對所建議的安全防護措施的可行性(如兼容性、用戶接受程度)和有效性(如保護程度和風險控制的級別)進行分析。這些脆弱性 /威脅對需要采取立即糾正行動以保護單位的利益和使命。 風險評估過程結束! 中管網(wǎng)制造業(yè)頻道 信息安全風險處理的過程 來自風險評估報告的風險級別 ?由高到底的行動優(yōu)先級 風險評估報告 ?可能的控制清單 ?成本效益分析 ?所選擇的安全防護措施 ?責任人員清單 步驟 2:評估所建議的安全選項 可用性 有效性 步驟 3:實施成本效益分析 步驟 4:選擇安全防護措施 步驟 5:分配責任 步驟 6:制定安全措施的實現(xiàn)計劃 ?風險及相關風險的級別 ?優(yōu)先級排序后的行動 ?所建議的安全防護措施 ?所選擇的預期安全措施 ?責任人員 ?開始日期 ?目標完成日期 ?維護要求 ?安全措施實現(xiàn)計劃 步驟 7:實現(xiàn)所選擇的安全措施 ?殘余風險 步驟 1:對行動優(yōu)先級進行排序 中管網(wǎng)制造業(yè)頻道 信息安全風險處理的過程(續(xù)) ? 步驟 1: 對行動優(yōu)先級進行排序 ? 基于在風險評估報告中提出的風險級別,對風險處理的實現(xiàn)行動進行優(yōu)先級排序。 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 8:建議安全防護措施 ? 在這一步里,將針對單位的運行提出可用來控制已識別出的風險的安全防護措施。 中 如果被評估為中風險,那么便要求有糾正行動,必須在一個合理的時間段內(nèi)制定有關計劃來實施這些行動。 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) 風險級別 風險描述和必要行動 高 如果被評估為高風險,那么便強烈要求有糾正措施。這種表示為高、中、低的風險尺度代表了如果給定的脆弱性被利用來攻擊時,信息系統(tǒng)、設施或流程可能暴露出的風險程度或級別。例如: ? 賦給每個威脅可能性級上的概率為 , ; ? 賦給每個影響級上的值為 100時表示高, 50表示中,10表示低。這種風險級別或等級的確定可能是主觀性的。 ? 根據(jù)現(xiàn)場要求和風險評估要求的粒度,有些情況下也可能使用 4 4或 5 5的矩陣。 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 風險級別矩陣 ? 將威脅的可能性(例如概率)及威脅影響的級別相乘后便得出了最終的使命風險。 低 對脆弱性的利用( 1)可能導致某些有形資產(chǎn)或資源的損失;或者( 2)可能對單位的使命、聲譽或利益造成值得注意的影響。 影響級別 影響定義 高 對脆弱性的利用( 1)可能導致有形資產(chǎn)或資源的高成本損失;( 2)可能嚴重違犯、危害或阻礙單位的使命、聲譽或利益;或者( 3)可能導致人員死亡或嚴重傷害。 ? 對安全事件的負面影響可以用完整性、可用性和保密性三個安全屬性的損失或降低來描述。 低 威脅源缺少動機和能力,或者已經(jīng)部署的安全防護措施能夠防止 ——至少能大大地阻止對脆弱性的利用。 可能性級別 可能性描述 高 威脅源具有強烈的動機和足夠的能力,防止脆 弱性被
點擊復制文檔內(nèi)容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1