文档介绍:信息安全讲座安全评估与安全管理安全评估与安全管理安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理一、安全风险分析风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别一、风险分析概述安全以风险形式存在,没有绝对的安全HighRiskLowRisk安全目标安全缝隙高风险低风险当前安全状态一、 安全风险是信息安全问题的表现形式,即由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程,是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。一、,风险评估是“一种度量信息安状况的方法和工具”,风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素,度量网络和信息系统的安全状况。风险评估是风险管理的基础。一、、风险分析的目的和意义风险评估是解决“最基本安全问题”的基础信息系统的安全状况到底如何?——用风险评估结果描述系统安全状况。是否有统一的建设规范,统一的安全要求?——风险评估是制定统一规范,统一要求的基础。什么样的信息安全方案合理,建设到什么程度合适?——风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全?——通过风险评估来检验安全体系。二、“正确认识安全问题;准确了解安全状态”,信息系统安全测评就是对信息系统安全的“度量”,是做好信息安全保障的重要基础。二、 风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施,鉴别存在的风险以及风险发生的可能性和影响,从而选择可将风险降低到组织可接受级别的安全措施。