2023年信息安全管理概論重點(diǎn)_第1頁(yè)
2023年信息安全管理概論重點(diǎn)_第2頁(yè)
2023年信息安全管理概論重點(diǎn)_第3頁(yè)
2023年信息安全管理概論重點(diǎn)_第4頁(yè)
2023年信息安全管理概論重點(diǎn)_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全管理概論重點(diǎn)填空:1’*10名詞解釋?zhuān)?’3簡(jiǎn)答:5’*4判斷敘理:5’*5案例分析:1、國(guó)家信息安全管理存在的問(wèn)題宏觀:(1)法律法規(guī)問(wèn)題。健全的信息安全法律法規(guī)體系是保證國(guó)家信息安全的基礎(chǔ),是信息安全的第一道防線.(2)管理問(wèn)題。(涉及三個(gè)層次:組織建設(shè)、制度建設(shè)和人員意識(shí))(3)國(guó)家信息基礎(chǔ)設(shè)施建設(shè)問(wèn)題。目前,中國(guó)信息基礎(chǔ)設(shè)施幾乎完全是建立在外國(guó)的核心信息技術(shù)之上的,導(dǎo)致我國(guó)在網(wǎng)絡(luò)時(shí)代沒(méi)有制網(wǎng)權(quán).2023年度經(jīng)濟(jì)人物之首:中國(guó)芯創(chuàng)建者鄧中翰.十五期間,國(guó)家863計(jì)劃和科技攻關(guān)的重要項(xiàng)目:信息安全與電子政務(wù),金融信息化兩個(gè)信息安全研究項(xiàng)目.微觀:(1)缺少信息安全意識(shí)與明確的信息安全方針。(2)重視安全技術(shù),輕視安全管理。信息安全大約70%以上的問(wèn)題是由管理因素導(dǎo)致的.(3)安全管理缺少系統(tǒng)管理的思想。2、信息安全概念信息安全是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、真實(shí)性、準(zhǔn)確性的保持。信息保密性:保障信息僅僅為那些被授權(quán)使用的人獲取,它因信息被允許訪問(wèn)對(duì)象的多少而不同.信息完整性:指為保護(hù)信息及其解決方法的準(zhǔn)確性和完整性,一是指信息在運(yùn)用,傳輸,儲(chǔ)存等過(guò)程中不被篡改,丟失,缺損等,此外是指信息解決方法的對(duì)的性.信息可用性:指信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時(shí)可立即獲得.系統(tǒng)硬件,軟件安全,可讀性保障等.3、信息安全重要性a.信息安全是國(guó)家安全的需要國(guó)家軍事安全、政治穩(wěn)定、社會(huì)安定、經(jīng)濟(jì)有序運(yùn)營(yíng)美國(guó)與俄羅斯先后推出<信息系統(tǒng)保護(hù)國(guó)家計(jì)劃>和<國(guó)家信息安全學(xué)說(shuō)>b.信息安全是組織連續(xù)發(fā)展的需要任何組織的正常運(yùn)作都離不開(kāi)信息資源的支持.組織的商業(yè)秘密,系統(tǒng)的正常運(yùn)營(yíng)等,信息安全特性已成為許多組織的服務(wù)質(zhì)量的重要特性之一.c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要4、如何擬定組織信息安全的規(guī)定a.法律法規(guī)與協(xié)議規(guī)定b.風(fēng)險(xiǎn)評(píng)估的結(jié)果(保護(hù)限度與控制方式)c.組織的原則、目的與規(guī)定5、傳統(tǒng)信息安全管理模式特點(diǎn)(傳統(tǒng)管理模式的弊端與技術(shù)手段的局限性)傳統(tǒng)管理模式:靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的缺陷:a、不能從主線上避免和減少各類(lèi)風(fēng)險(xiǎn),也不能減少信息安全故障導(dǎo)致的綜合損失b、信息安全技術(shù)是信息安全控制不可或缺的重要手段,但單靠技術(shù)手段實(shí)現(xiàn)安全的能力是有限的,甚至喪失,信息安全來(lái)自:三分技術(shù),七分管理c、信息安全不能迷信技術(shù),應(yīng)當(dāng)在適宜技術(shù)條件下加強(qiáng)管理.6、系統(tǒng)的信息安全管理原則:(1)制訂信息安全方針原則:制定信息安全方針為信息安全管理提供導(dǎo)向和支持(2)風(fēng)險(xiǎn)評(píng)估原則:控制目的與控制方式的選擇建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上(3)費(fèi)用與風(fēng)險(xiǎn)平衡原則:將風(fēng)險(xiǎn)降至組織可接受的水平,費(fèi)用太高不接受(4)防止為主原則:信息安全控制應(yīng)實(shí)行防止為主,做到防患于未然(5)商務(wù)連續(xù)性原則:即信息安全問(wèn)題一旦發(fā)生,我們應(yīng)能從故障與劫難中恢復(fù)商務(wù)運(yùn)作,不至于發(fā)生癱瘓,同時(shí)應(yīng)盡力減少故障與劫難對(duì)關(guān)鍵商務(wù)過(guò)程的影響(6)動(dòng)態(tài)管理原則:即對(duì)風(fēng)險(xiǎn)實(shí)行動(dòng)態(tài)管理(7)全員參與的原則:(8)PDCA原則:遵循管理的一般循環(huán)模式--Pl(wèi)an(策劃)---Do(執(zhí)行)---Check(檢查)---Action(措施)的連續(xù)改善模式?,F(xiàn)代系統(tǒng)的信息安全管理是動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、防止為主的信息安全管理方式,用最低的成本,達(dá)成可接受的信息安全水平,從主線上保證業(yè)務(wù)的連續(xù)性,它完全不同于傳統(tǒng)的信息安全管理模式:靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的,不能從主線上避免、減少各類(lèi)風(fēng)險(xiǎn),也不能減少信息安全故障導(dǎo)致的綜合損失,商務(wù)也許因此癱瘓,不能連續(xù)。7、風(fēng)險(xiǎn)評(píng)估a.威脅(Threat(yī)),是指也許對(duì)資產(chǎn)或組織導(dǎo)致?lián)p害的事故的潛在因素。如病毒和黑客襲擊,小偷偷盜等.b.薄弱點(diǎn)(Vulnerability),是指資產(chǎn)或資產(chǎn)組中能被威脅運(yùn)用的弱點(diǎn)。如員工缺少安全意識(shí),口令簡(jiǎn)短易猜,操作系統(tǒng)自身有安全漏洞等.關(guān)系:威脅是運(yùn)用薄弱點(diǎn)而對(duì)資產(chǎn)或組織導(dǎo)致?lián)p害的.如無(wú)懈可擊,有機(jī)可乘.c.風(fēng)險(xiǎn)(Risk),即特定威脅事件發(fā)生的也許性與后果的結(jié)合。特定的威脅運(yùn)用資產(chǎn)的一種或一組薄弱點(diǎn),導(dǎo)致資產(chǎn)的丟失或損害的潛在也許性及其影響大小.經(jīng)濟(jì)代理人面對(duì)的隨機(jī)狀態(tài)可以用某種具體的概率值表達(dá).這里的風(fēng)險(xiǎn)只表達(dá)結(jié)果的不擬定性及發(fā)生的也許性大小.d.風(fēng)險(xiǎn)評(píng)估(RiskAssessment),對(duì)信息和信息解決設(shè)施的威脅、影響(Impact)和薄弱點(diǎn)及三者發(fā)生的也許性評(píng)估.它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程,即運(yùn)用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,擬定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序,所以,風(fēng)險(xiǎn)評(píng)估也稱(chēng)為風(fēng)險(xiǎn)分析.8、風(fēng)險(xiǎn)管理(判斷、填空)風(fēng)險(xiǎn)管理(RiskManagement),以可接受的費(fèi)用辨認(rèn)、控制、減少或消除也許影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理過(guò)程結(jié)構(gòu)圖a.安全控制(SecurityControl),減少安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。b.剩余風(fēng)險(xiǎn)(ResidualRisk),實(shí)行安全控制后,剩余的安全風(fēng)險(xiǎn)。c.合用性聲明(ApplicabilityStatement),合用于組織需要的目的和控制的評(píng)述。風(fēng)險(xiǎn)評(píng)估與管理的術(shù)語(yǔ)關(guān)系圖(其實(shí),安全控制與薄弱點(diǎn)間、安全控制與資產(chǎn)間、安全風(fēng)險(xiǎn)與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系)(1)資產(chǎn)具有價(jià)值,并會(huì)受到威脅的潛在影響。(2)薄弱點(diǎn)將資產(chǎn)暴露給威脅,威脅運(yùn)用薄弱點(diǎn)對(duì)資產(chǎn)導(dǎo)致影響。(3)威脅與薄弱點(diǎn)的增長(zhǎng)導(dǎo)致安全風(fēng)險(xiǎn)的增長(zhǎng)。(4)安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安全提出規(guī)定(5)安全控制應(yīng)滿(mǎn)足安全規(guī)定。(6)組織通過(guò)實(shí)行安全控制防范威脅,以減少安全風(fēng)險(xiǎn)。9、風(fēng)險(xiǎn)評(píng)估過(guò)程a.風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素(1)信息資產(chǎn)及其價(jià)值(2)對(duì)這些資產(chǎn)的威脅,以及他們發(fā)生的也許性(3)薄弱點(diǎn)(4)已有的安全控制措施b.風(fēng)險(xiǎn)評(píng)估的基本環(huán)節(jié)(1)按照組織商務(wù)運(yùn)作流程進(jìn)行信息資產(chǎn)辨認(rèn),并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià)(2)根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅辨認(rèn)與評(píng)價(jià)(3)相應(yīng)每一威脅,對(duì)資產(chǎn)或組織存在的薄弱點(diǎn)進(jìn)行辨認(rèn)與評(píng)價(jià)(4)對(duì)已采用的安全控制進(jìn)行確認(rèn)(5)建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,擬定風(fēng)險(xiǎn)的大小與等級(jí)c.進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),應(yīng)考慮的相應(yīng)關(guān)系風(fēng)險(xiǎn)評(píng)估過(guò)程圖資產(chǎn)、威脅和薄弱點(diǎn)相應(yīng)關(guān)系圖資產(chǎn)、威脅和薄弱點(diǎn)相應(yīng)關(guān)系:1、每一項(xiàng)資產(chǎn)也許存在多個(gè)威脅2、威脅的來(lái)源也許不只一個(gè),應(yīng)從人員(涉及內(nèi)部與外部)、環(huán)境(如自然災(zāi)害)、資產(chǎn)自身(如設(shè)備故障)等方面加以考慮10、資產(chǎn)辨認(rèn)與評(píng)估組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單,對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估,資產(chǎn)辨認(rèn)時(shí)常應(yīng)考慮:(1)數(shù)據(jù)與文檔(2)書(shū)面文獻(xiàn)(3)軟件資產(chǎn)(4)實(shí)物資產(chǎn)(5)人員(6)服務(wù)11、信息資產(chǎn)的廣義與狹義理解資產(chǎn)估價(jià)是一個(gè)主觀的過(guò)程,資產(chǎn)價(jià)值不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的,而是指其相對(duì)價(jià)值。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí),不僅要考慮資產(chǎn)的賬面價(jià)格,更重要的是要考慮資產(chǎn)對(duì)于組織商務(wù)的重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定。建立一個(gè)資產(chǎn)的價(jià)值尺度(資產(chǎn)評(píng)估標(biāo)準(zhǔn)).一些信息資產(chǎn)的價(jià)值是有時(shí)效性的,如數(shù)據(jù)保密.新產(chǎn)品數(shù)據(jù)在產(chǎn)品面市之前的高度機(jī)密性.采用精確的財(cái)務(wù)方式來(lái)給資產(chǎn)擬定價(jià)值有時(shí)是很困難的,一般采用定性的方式來(lái)建立資產(chǎn)的價(jià)值或重要度,即按照事先擬定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級(jí)或說(shuō)對(duì)資產(chǎn)賦值.從而可以擬定需要保護(hù)的關(guān)鍵資產(chǎn).12、信息資產(chǎn)價(jià)值理解、價(jià)值時(shí)效性13、威脅辨認(rèn)與評(píng)價(jià)威脅發(fā)生的也許性分析:擬定威脅發(fā)生的也許性是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié),組織應(yīng)根據(jù)經(jīng)驗(yàn)和(或)有關(guān)的記錄數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的也許性受下列因素的影響:(1)資產(chǎn)的吸引力,如金融信息、國(guó)防信息等(2)資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易限度(3)威脅的技術(shù)含量(4)薄弱點(diǎn)被運(yùn)用的難易限度威脅發(fā)生的也許性大?。ň唧w根據(jù)需要定,也許取大于1的值,也也許取小于1的值,但肯定不小于0)可以采用分級(jí)賦值的方法予以擬定。如將也許性分為三個(gè)等級(jí):非常也許=3;大約也許=2;不太也許=1威脅事件發(fā)生的也許性大小與威脅事件發(fā)生的條件是密切相關(guān)的。如消防管理好的部門(mén)發(fā)生火災(zāi)的也許性要比消防管理差的部門(mén)發(fā)生火災(zāi)的也許性小。因此,具體環(huán)境下某一威脅發(fā)生的也許性應(yīng)考慮具體資產(chǎn)的薄弱點(diǎn)對(duì)這一威脅發(fā)生也許性的社會(huì)均值予以修正。14、薄弱點(diǎn)評(píng)價(jià)與已有控制措施的確認(rèn)A薄弱點(diǎn)的辨認(rèn)與評(píng)估有關(guān)實(shí)物和環(huán)境安全面的薄弱點(diǎn)薄弱點(diǎn)運(yùn)用薄弱點(diǎn)的威脅對(duì)建筑、房屋和辦公室實(shí)物訪問(wèn)控制故意破壞的不充足或疏忽對(duì)于建筑、門(mén)和窗缺少物理保護(hù)盜竊位于易受洪水影響的區(qū)域洪水未被保護(hù)的儲(chǔ)藏庫(kù)盜竊缺少維護(hù)程序或維護(hù)作業(yè)指導(dǎo)維護(hù)錯(cuò)誤缺少定期的設(shè)備更新計(jì)劃存儲(chǔ)媒體的老化設(shè)備缺少必要防護(hù)措施空氣中的顆粒/灰塵設(shè)備對(duì)溫度變化敏感或缺少空調(diào)設(shè)施極端溫度(高溫或低溫)設(shè)備易受電壓變化的影響、不穩(wěn)定的高壓輸電網(wǎng)、缺少供電保護(hù)設(shè)施電壓波動(dòng)可見(jiàn),威脅也許是人為的、襲擊的,也也許是環(huán)境的、自然的。組織應(yīng)對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn),找出每一種威脅所能運(yùn)用的薄弱點(diǎn),并對(duì)薄弱點(diǎn)的嚴(yán)重性進(jìn)行評(píng)價(jià),即對(duì)薄弱點(diǎn)被威脅運(yùn)用的也許性PV進(jìn)行評(píng)價(jià),可以采用分級(jí)賦值的方法(同PT同樣,具體大小根據(jù)需要定,也許取大于1的值,也也許取小于1的值,但肯定不小于0)。如:非常也許=4;很也許=3;也許=2;不太也許=1;不也許=0B對(duì)已有的安全控制進(jìn)行確認(rèn)威┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅脅保護(hù)措施發(fā)預(yù)生防的風(fēng)險(xiǎn)曲線3措可施能性風(fēng)險(xiǎn)曲線2、薄弱點(diǎn)被風(fēng)險(xiǎn)曲線1利用的程度威脅所產(chǎn)生的潛在影響限度圖2-5控制措施與風(fēng)險(xiǎn)限度關(guān)系圖組織應(yīng)將已采用的控制措施進(jìn)行辨認(rèn)并對(duì)控制措施的有效性進(jìn)行確認(rèn),繼續(xù)保持有效的安全控制,以避免不必要的工作和費(fèi)用,防止控制的反復(fù)實(shí)行。對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)當(dāng)檢查是否應(yīng)被取消,或者用更合適的控制代替。此外,應(yīng)當(dāng)注意,在風(fēng)險(xiǎn)評(píng)估之后選擇的安全控制與現(xiàn)有的和計(jì)劃的控制應(yīng)保持一致。安全控制可分為防止性控制措施和保護(hù)性措施(如商務(wù)連續(xù)性計(jì)劃、商業(yè)保險(xiǎn)等),防止性措施可以減少威脅發(fā)生的也許性和減少安全薄弱點(diǎn),而保護(hù)性措施可以減少威脅發(fā)生所導(dǎo)致的影響。15、風(fēng)險(xiǎn)評(píng)估①風(fēng)險(xiǎn)測(cè)量方法—風(fēng)險(xiǎn)大小和等級(jí)評(píng)價(jià)原則風(fēng)險(xiǎn)是威脅發(fā)生的也許性,薄弱點(diǎn)被威脅運(yùn)用的也許性和威脅的潛在影響的函數(shù):R=R(PT,PV,I) 其中:R---資產(chǎn)受到某一威脅所擁有的風(fēng)險(xiǎn)②風(fēng)險(xiǎn)測(cè)量方法事例:(不知道該如何整理!太多了!!!)16、風(fēng)險(xiǎn)控制過(guò)程風(fēng)險(xiǎn)控制途徑:減少風(fēng)險(xiǎn)途徑①避免風(fēng)險(xiǎn),也稱(chēng)規(guī)避風(fēng)險(xiǎn),屬去除威脅②轉(zhuǎn)移風(fēng)險(xiǎn)③減少威脅④減少薄弱點(diǎn)⑤減少威脅也許的影響限度⑥探測(cè)有害事故,對(duì)其做出反映并恢復(fù),屬及時(shí)捕獲威脅17、風(fēng)險(xiǎn)接受:信息系統(tǒng)絕對(duì)安全(即零風(fēng)險(xiǎn))是不也許的.組織在實(shí)行選擇的控制后,總?cè)杂袣埩舻娘L(fēng)險(xiǎn),稱(chēng)之為殘留風(fēng)險(xiǎn)或殘余風(fēng)險(xiǎn)或剩余風(fēng)險(xiǎn)。導(dǎo)致殘余風(fēng)險(xiǎn)的因素:也許是某些資產(chǎn)未被故意識(shí)保護(hù)所致,如假設(shè)的低風(fēng)險(xiǎn);或者被提及的控制需要高費(fèi)用而未采用應(yīng)有的控制殘余風(fēng)險(xiǎn)應(yīng)在可接受的范圍內(nèi),即應(yīng)滿(mǎn)足:殘余風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)Ro-控制△R殘余風(fēng)險(xiǎn)Rr≤可接受風(fēng)險(xiǎn)Rt風(fēng)險(xiǎn)接受就是一個(gè)對(duì)殘余風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程:按照風(fēng)險(xiǎn)評(píng)估擬定的風(fēng)險(xiǎn)測(cè)量方法對(duì)實(shí)行安全控制后的資產(chǎn)風(fēng)險(xiǎn)進(jìn)行重新計(jì)算,以獲得殘余風(fēng)險(xiǎn)的大小,并將殘余風(fēng)險(xiǎn)分為可接受或不可接受的風(fēng)險(xiǎn).風(fēng)險(xiǎn)是隨時(shí)間而變化的,風(fēng)險(xiǎn)管理應(yīng)是一個(gè)動(dòng)態(tài)的管理過(guò)程,因此組織要?jiǎng)討B(tài)地定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,甚至在以下情況進(jìn)行臨時(shí)評(píng)估,以便及時(shí)辨認(rèn)需要控制的風(fēng)險(xiǎn)并進(jìn)行有效的控制:⑴當(dāng)組織新增信息資產(chǎn)時(shí).⑵當(dāng)系統(tǒng)發(fā)生重大變更時(shí).⑶發(fā)生嚴(yán)重信息安全事故時(shí).⑷組織認(rèn)為有必要時(shí).18、基本風(fēng)險(xiǎn)評(píng)估基本的風(fēng)險(xiǎn)評(píng)估是指應(yīng)用直接和簡(jiǎn)易的方法達(dá)成基本的安全水平,就能滿(mǎn)足組織及其商業(yè)環(huán)境的所有規(guī)定。合用范圍:合用于商業(yè)運(yùn)作不是非常復(fù)雜的組織,并且組織對(duì)信息解決和網(wǎng)絡(luò)的依賴(lài)限度不高。優(yōu)點(diǎn):(1)風(fēng)險(xiǎn)評(píng)估所需資源最少,簡(jiǎn)便易行(2)同樣或類(lèi)似的控制能被許多信息安全管理體系所采用,不需要花費(fèi)很大的精力。假如多個(gè)商業(yè)規(guī)定類(lèi)似,并且在相同的環(huán)境中運(yùn)作,這些控制可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。缺陷:(1)假如安全水平被設(shè)立的太高,就也許需要過(guò)多的費(fèi)用或控制過(guò)度;假如水平太低,對(duì)一些組織來(lái)說(shuō),也許會(huì)得不到充足的安全。(由于方法是基本的,不細(xì),較粗,因此,評(píng)估結(jié)果也許也較粗,不夠精確,有一定的出入)(2)對(duì)管理相關(guān)的安全進(jìn)行更改也許有困難。如一個(gè)信息安全管理體系被升級(jí),評(píng)估最初的控制是否仍然充足就有一定的困難。19、具體風(fēng)險(xiǎn)評(píng)估具體的風(fēng)險(xiǎn)評(píng)估是指對(duì)資產(chǎn)的具體辨認(rèn)和估價(jià),以及那些對(duì)資產(chǎn)形成威脅和相關(guān)薄弱點(diǎn)水平的具體評(píng)估,在此基礎(chǔ)上開(kāi)展風(fēng)險(xiǎn)評(píng)估并隨后被用于安全控制的辨認(rèn)和選擇。優(yōu)點(diǎn):(1) 能獲得一個(gè)更精確的安全風(fēng)險(xiǎn)的結(jié)識(shí),從而更為精確地辨認(rèn)反映組織安全規(guī)定的安全水平。(2)?可以從具體的風(fēng)險(xiǎn)評(píng)估中獲得額外信息,使與組織更改相關(guān)的安全管理受益。缺陷:(1)?需要非常仔細(xì)制訂被評(píng)估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)邊界,需要管理者連續(xù)關(guān)注,因

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論