freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

培訓資料風險評估與管理(79頁)-管理培訓-在線瀏覽

2024-10-21 18:18本頁面
  

【正文】 的風險分析方法。 ? 該方法通常只關注威脅事件所帶來的損失,而忽略事件發(fā)生的概率。 ? 定量分析步驟主要集中在現(xiàn)場調查階段,針對系統(tǒng)關鍵資產進行定量的調查、分析,為后續(xù)評估工作提供參考依據(jù)。 ? 由于定性的分析方法不是用數(shù)學或統(tǒng)計的工具將風險模型化,因此一次風險評估的成敗與執(zhí)行者的經驗有很大的關系。 ? 具體對比見下表: 中管網(wǎng)制造業(yè)頻道 概念解析 4 風險分析(續(xù)) 優(yōu)點 缺點 定性分析 它可以對風險進行排序并能夠對那些需要立即改善的環(huán)節(jié)進行標識 沒有對影響大小給出具體的定量度量,因此使得對控制進行成本效益分析變得很困難。 ? 風險評價的結果為具有不同等級的風險列表。 中管網(wǎng)制造業(yè)頻道 概念解析 6 風險處理 ? 風險處理 (risk mitigation) ? 風險處理是風險管理的第二個過程。 中管網(wǎng)制造業(yè)頻道 概念解析 6 風險處理(續(xù)) ? 風險評估只為組織的信息安全活動提供一個方向,并沒有必要導致重大的信息安全改進。 ? 所以評估結束后,組織必須開發(fā)詳細的行動計劃,計劃如何根據(jù)評估實現(xiàn)保護策略和風險處理計劃。風險處理可以通過下列措施實現(xiàn): ? 風險承受:接受潛在的風險并繼續(xù)運行信息系統(tǒng),或實現(xiàn)安全防護措施,以把風險降低到一個可接受的級別。 ? 風險轉移:通過使用其它措施來補償損失,從而轉移風險,如購買保險。 ? ISO133351定義資產為所有對組織有用的東西。 中管網(wǎng)制造業(yè)頻道 概念解析 7 資產(續(xù)) ? 以下是資產示例及分類: ? 信息資產:數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓資料、操作與維護程序、知識產權、業(yè)務持續(xù)性計劃、應急安排等。 ? 軟件資產:應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序等。 ? 人員:員工、客戶、合同工、警衛(wèi)。 ? 公司形象和聲譽:如正面和負面的宣傳、品牌附加值等。 ? ISO 17799 將威脅定義為對組織造成潛在影響的原因。 概念解析 8 威脅 中管網(wǎng)制造業(yè)頻道 概念解析 8 威脅(續(xù)) ? 威脅由多種屬性來刻畫:威脅的主體(威脅源)、能力、資源、動機、途徑、可能性和后果。 ? 信息的非授權修改 ? 這是一種有預謀的威脅,可能會損害資產的保密性與可用性。 ? 軟件失效 ? 由于有預謀的事件或意外事件發(fā)生,從而導致軟件的完整性與可用性的損失。 ? 偷竊 ? 這是一種有預謀的威脅,可能會損害資產的保密性與可用性。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性 ? 脆弱性 (Vulnerability) ? 脆弱性是信息資產及其防護措施在安全方面的不足和弱點。 ? NIST SP80030將漏洞定義為安全程序、技術控制措施、物理控制措施或其他控制措施中可能被威脅利用的條件或弱點,或缺乏控制措施。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性(續(xù)) ? 以下都是常見的脆弱性: ? 缺乏物理保護或保護不適當 ? 可能被威脅利用,損害資產的保密性、完整性和可用性 ? 口令選擇或使用不當 ? 可能導致對系統(tǒng)信息的非授權訪問,從而損害資產的保密性、完整性和可用性。 ? 沒有保護的存檔文件 ? 有可能被偷竊,從而損害資產的保密性、完整性和可用性。 中管網(wǎng)制造業(yè)頻道 概念解析 10 防護措施 ? 防護措施 (safeguard) ? 防護措施是對付威脅,減少脆弱性,保護資產,限制意外事件的影響,檢測、響應意外事件,促進災難恢復和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。 中管網(wǎng)制造業(yè)頻道 概念解析 與要素相關概念小結 中管網(wǎng)制造業(yè)頻道 風險評估與管理 1. 與風險評估和風險管理相關的概念解析 2. 信息安全風險管理的一般過程 3. 風險評估與風險管理的其它問題 中管網(wǎng)制造業(yè)頻道 2 信息安全風險管理的一般過程 信息安全風險評估的過程 信息安全風險處理的過程 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 輸入 輸出 風險評估活動 ● 硬件 ● 軟件 ● 系統(tǒng)接口 ● 數(shù)據(jù)和信息 ● 人員 ● 系統(tǒng)使命 步驟 1:體系特征描述 ● 系統(tǒng)邊界 ● 系統(tǒng)功能 ● 系統(tǒng)和數(shù)據(jù)的關鍵性 ● 系統(tǒng)和數(shù)據(jù)的敏感性 ● 系統(tǒng)遭受攻擊的歷史 ● 來自信息咨詢機構、大眾媒體的數(shù)據(jù) ● 以前的風險評報告 ● 安全檢查工作中提出的意見 ● 安全要求 ● 安全測試結果 ● 當前的以及規(guī)劃中的安全措施 ● 威脅的屬性(威脅源、動機、能力等) ● 脆弱性的性質 ● 當前的以及規(guī)劃中的安全措施 ● 分析對使命的影響 ● 評估資產的關鍵性 ● 數(shù)據(jù)關鍵性 ● 數(shù)據(jù)敏感性 ● 威脅聲明 ● 可能的脆弱性列表 ● 當前的以及規(guī)劃中的安全措施 ● 可能性級別 ● 影響級別 步驟 2:識別威脅 步驟 3:識別脆弱性 步驟 4:分析安全措施 步驟 5:確定可能性 步驟 6:分析影響 完整性損失 可用性損失 保密性損失 步驟 7:確定風險 ● 威脅破壞的可能性 ● 影響的程度 ● 當前的以及規(guī)劃中的安全措施的足夠性 ● 風險及相關風險的級別 步驟 8:建議安全措施 步驟 9:記錄結果 ● 建議的安全措施 ● 風險評估報告 風險評估流程圖 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 1:描述系統(tǒng)特征 ? 在對信息系統(tǒng)的風險進行評估中,第一步是定
點擊復制文檔內容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1