文档介绍:蓝盾信息安全技术股份有限公司 830 3187 风险评估101蓝盾信息安全技术股份有限公司2009年11月1日蓝盾信息安全技术股份有限公司 830 3187 什么是风险评估?——从深夜一个回家的女孩开始讲起……蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 风险评估风险评估3风险风险风险管理(风险管理(Risk ManagementRisk Management))就是以就是以可接受的代价,识别、控制、减少或消除可可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。能影响信息系统的安全风险的过程。在信息安全领域,在信息安全领域,风险(风险(RiskRisk))就是指就是指各种威胁导致安全事件发生的可能性及各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。其对组织所造成的负面影响。风险管理风险管理风险评估(风险评估(Risk AssessmentRisk Assessment))就就是对各方面风险进行辨识和分析的过是对各方面风险进行辨识和分析的过程,它包括风险分析和风险评价,是确程,它包括风险分析和风险评价,是确认安全风险及其大小的过程。认安全风险及其大小的过程。蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 风险评估的基本概念蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 资产影响威胁弱点风险钱被偷100块没饭吃小偷打瞌睡服务器***漏洞被入侵数据失密通俗的比喻蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响影响威胁威胁脆弱性影响影响威胁威胁脆弱性脆弱性风险管理的目标风险管理的目标蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 风险评估和风险管理的关系风险评估和风险管理的关系风险评估是风险管理的关键环节,在风险管理循环中,必须依靠风险评估来确定随后的风险控制与改进活动。蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 信息安全属性?保密性CONFIDENTIALATY?确保信息只能由那些被授权使用的人获取?完整性INTEGRITY?保护信息及其处理方法的准确性和完整性?可用性AVAILABILITY?确保被授权使用人在需要时可以获取信息和使用相关的资产蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 可用性确保获得授权的用户可访问信息并使用相关信息资产完整性保护信息和处理方法的准确和完整确保只有获得授权的人才能访问信息保密性进不来拿不走改不了跑不了看不懂可审查不可抵赖曾经完成的操作和承诺不可抵赖性可控制网络信息传播及内容可控性确保硬件、软件、环境各方面的可靠运行可靠性信息安全之属性蓝盾信息安全技术股份有限公司 830 3187 蓝盾信息安全技术股份有限公司 830 3187 风险计算体系