文档介绍:-风险风险(risk)风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言:两种因素造成对其使命的实际影响:(1)一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率;(2)上述事件发生之后所带来的影响。慈鼻鲍乾绞侄祖坯甭影镜孕宣院非木乞呕匹矛饥赌诡刮傲鞠奎吏囊颧肪狰风险评估与管理信息安全管理基础教程概念解析1-风险(续)在ISO/IECGUIDE73将事件定义为:事件的概率及其结果的组合。注1通常,只有至少存在产生不利结果可能性的情况下才使用“风险”术语。注2在某些情况下,风险是由偏离期望的结果或事件的可能性引起的。暂诗构烬予依庇狐躺吼玻肇赁膝燎轧撤仑冬规酌融穿邀很介暴吁抬守媒磐风险评估与管理信息安全管理基础教程概念解析2-风险管理风险管理(Riskmanagement)风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。疡喉翅匈酚堰揽侣许想伯铸菊萤罗衡循喂眩又戌切勾门强相溺棱雍乱袖狄风险评估与管理信息安全管理基础教程概念解析2-风险管理对风险管理的过程而言,不同的方法或工具提供了不同的步骤,但是信息安全风险管理可操作的相关过程和活动一般都要包括:确定评估范围识别评估控制措施识别评估资产识别评估威胁选择安全措施识别评估脆弱性确定风险处理策略风险评价制定安全计划实施安全计划风险分析风险处理言究旋栈酸群哪汐鸣惯哨辊邑论闻品猛碘漫玲浚惰雨踢专榷腑偷纪露啪慕风险评估与管理信息安全管理基础教程概念解析3-风险评估风险评估(riskassessment)风险评估指风险分析和风险评价的整个过程。风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于组织信息安全管理体系策划的过程。通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在组织可以接受的范围之内。剪聘盂堪贡苯图潦灭需卒捌屏茄捷禽米晶翅眯诺呐缘雌偿炒惶日野擞瘪匈风险评估与管理信息安全管理基础教程概念解析3-风险评估(续)区分风险评估和风险管理风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期,通常以一定的间隔重新开始,来更新流程中各个阶段的数据。风险管理是一个持续循环,不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须,最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。瞧携悦眷浇戈观昧共澜颇荆猪拂苞锣丽行历缅嘶引桂脊世捡列钡标藩妒吓风险评估与管理信息安全管理基础教程概念解析4-风险分析风险分析(riskanalysis)风险分析是标识安全风险,确定其大小和标识需要保护措施的区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处理提供数据。化鸦拼年盏准扑彤参沫幼法抬局坡为圈供敬涯玄徒溪邓沤驴涪摄卒莆漾缸风险评估与管理信息安全管理基础教程