文档介绍:信息安全体系风险评估基本概念重要意义工作方式几个关键问题1、什么是风险评估信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。什么是风险评估2风险评估的基本概念对基本概念的解释业务战略:即一个单位通过信息技术手段实现的工作任务。一个单位的业务战略对信息系统和信息的依赖程度越高,风险评估的任务就越重要。为什么要首先谈业务战略?这是信息化的目的,一个信息系统如果不能实现具体的工作任务,那么这个信息系统是没有用处的。信息安全不是最终目的,信息安全要服务于信息化。对基本概念的解释(续)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力等。这是需要保护的对象。只有资产得到保护,单位的业务战略才可以实现。资产价值:资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。这里指的资产价值不一定是购买时的货币价值。资产价值与业务战略联系紧密。信息安全的投入是有成本的,信息安全投入应适当,与资产的价值相适宜。对基本概念的解释(续)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、行为、可能性和后果。为什么要谈威胁?如果没有威胁,就不会有安全事件。示例:常见人为威胁对基本概念的解释(续)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。威胁是外因,而脆弱性是内因。外因要通过内因起作用。脆弱性是资产本身所具有的(例如系统没有打补丁),威胁要利用脆弱性才能造成安全事件。脆弱性/威胁对(示例)对基本概念的解释(续)事件:如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。在描述一个信息安全事件时,要明确:安全事件是如何产生的(与威胁的属性和脆弱性有关)?事件造成了什么后果(与资产有关)?事件的后果有多大(与资产的价值有关)?这个事件发生的可能性有多大(与威胁和脆弱性存在的可能性、威胁的动机等属性有关)?