1. 信息安全是指信息的保密性、完整性可用性和的保持。 2、信息安全的重要性 a.信息安全是國(guó)家安全的需要 b.信息安全是組織持續(xù)發(fā)展的需要 c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要 3、如何確定組織信息安全的要求 a.法律法規(guī)與合同要求 b.風(fēng)險(xiǎn)評(píng)估的結(jié)果(保護(hù)程度與控制方式) c.組織的原則、目標(biāo)與要求 8.風(fēng)險(xiǎn)評(píng)估與管理的術(shù)語關(guān)系圖 （其實(shí)，安全控制與薄弱點(diǎn)間、安全控制與資產(chǎn)間、安全風(fēng)險(xiǎn)與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系） 風(fēng)險(xiǎn)評(píng)估過程 a.風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素 （1）信息資產(chǎn)及其價(jià)值 （2）對(duì)這些資產(chǎn)的威脅，以及他們發(fā)生的可能性 （3）薄弱點(diǎn) （4）已有的安全控制措施 b.風(fēng)險(xiǎn)評(píng)估的基本步驟 （1）按照組織商務(wù)運(yùn)作流程進(jìn)行信息資產(chǎn)識(shí)別， 并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià) （2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅識(shí)別與評(píng)價(jià) （3）對(duì)應(yīng)每一威脅，對(duì)資產(chǎn)或組織存在的薄弱點(diǎn) 進(jìn)行識(shí)別與評(píng)價(jià) （4）對(duì)已采取的安全控制進(jìn)行確認(rèn) （5）建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則， 確定風(fēng)險(xiǎn)的大小與等級(jí) 10.資產(chǎn)識(shí)別與估價(jià) 資產(chǎn)識(shí)別時(shí)常應(yīng)考慮：（1）數(shù)據(jù)與文檔 （2）書面文件 （3）軟件資產(chǎn) （4）實(shí)物資產(chǎn)（5）人員 （6）服務(wù) 資產(chǎn)估價(jià)的概念 資產(chǎn)估價(jià)是一個(gè)主觀的過程，資產(chǎn)價(jià)值不是以資產(chǎn)的賬面價(jià)格來衡量的，而是指其相對(duì)價(jià)值。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的賬面價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織商務(wù)的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定。 12.PTV=PT*PV 式中 PTV——考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性； PT——未考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性，即這一威脅發(fā)生可能性的組織、行業(yè)、地區(qū)或社會(huì)均值； PV——資產(chǎn)的薄弱點(diǎn)被威脅利用的可能性 威脅的評(píng)價(jià) 評(píng)價(jià)威脅發(fā)生所造成的后果或潛在影響。不同的威脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值（或重要度）為限。 威脅的潛在影響I=資產(chǎn)相對(duì)價(jià)值V*價(jià)值損失程度CL 價(jià)值損失程度CL是一個(gè)小于等于1大于0的系數(shù)，資產(chǎn)遭受安全事故后，其價(jià)值可能完全喪失（即CL=1），但不可能對(duì)資產(chǎn)價(jià)值沒有任何影響（即CL≠0）。為簡(jiǎn)化評(píng)價(jià)過程，可以用資產(chǎn)的相對(duì)價(jià)值代替其所面臨的威脅產(chǎn)生的影響，即用V代替I，讓CL=1。 風(fēng)險(xiǎn)評(píng)估（重點(diǎn)） ①風(fēng)險(xiǎn)測(cè)量方法—風(fēng)險(xiǎn)大小和等級(jí)評(píng)價(jià)原則 風(fēng)險(xiǎn)是威脅發(fā)生的可能性,薄弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù): R=R(PT,PV,I) 其中：R---資產(chǎn)受到某一威脅所擁有的風(fēng)險(xiǎn) 例2-3 使用風(fēng)險(xiǎn)矩陣表進(jìn)行測(cè)量（預(yù)先價(jià)值矩陣） 例2-4 二元乘法風(fēng)險(xiǎn)測(cè)量，計(jì)算公式為：R=R(PTV,I)=PTV*I即利用威脅發(fā)生的真實(shí)可能性PTV和威脅的潛在影響I兩個(gè)因素來評(píng)價(jià)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)大小為兩者因素值之乘積 例2-5 關(guān)于網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)測(cè)量舉例 R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中：V----系統(tǒng)的重要性 PO---防止威脅發(fā)生的可能性 , PTV = 1-PO PD---防止系統(tǒng)性能降低的可能性, CL= 1-PD 例2-6,7可接受的和不可接受的風(fēng)險(xiǎn)區(qū)分方法 ③風(fēng)險(xiǎn)優(yōu)先級(jí)別確定 例2-8 利用區(qū)間的方法將例2-1計(jì)算的風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分 15.安全控制的識(shí)別和選擇： 選擇依據(jù)①以風(fēng)險(xiǎn)評(píng)估的結(jié)果為依據(jù)②以費(fèi)用因素為依據(jù) 16.風(fēng)險(xiǎn)控制： 降低風(fēng)險(xiǎn)途徑①避免風(fēng)險(xiǎn),也稱規(guī)避風(fēng)險(xiǎn),屬去除威脅②轉(zhuǎn)移風(fēng)險(xiǎn)③減少威脅④減少薄弱點(diǎn)⑤減少威脅可能的影響程度⑥探測(cè)有害事故，對(duì)其做出反應(yīng)并恢復(fù),屬及時(shí)捕捉威脅 基本的風(fēng)險(xiǎn)評(píng)估 優(yōu)點(diǎn)：（1）風(fēng)險(xiǎn)評(píng)估所需資源最少，簡(jiǎn)便易行 （2）同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費(fèi)很 大的精力。如果多個(gè)商業(yè)要求類似，并且在相同的環(huán)境中運(yùn)作，這些控制可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。 缺點(diǎn)：（1）如果安全水平被設(shè)置的太高，就可能需要過多的費(fèi)用或控制過度；如果水平太低，對(duì)一些組織來說，可能會(huì)得不到充分的安全。（由于方法是基本的，不細(xì)，較粗，因此，評(píng)估結(jié)果可能也較粗，不夠精確，有一定的出入） （2）對(duì)管理相關(guān)的安全進(jìn)行更改可能有困難。如一個(gè)信息安全管理體系被升級(jí)，評(píng)估最初的控制是否仍然充分就有一定的困難。 18.詳細(xì)的風(fēng)險(xiǎn)評(píng)估 優(yōu)點(diǎn)：（1）能獲得一個(gè)更精確的安全風(fēng)險(xiǎn)的認(rèn)識(shí)，從而更為精確地識(shí)別反映組織安全要求的安全水平。 （2）可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織更改相關(guān)的安全管理受益。 缺點(diǎn)：（1）需要非常仔細(xì)制訂被評(píng)估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)邊界，需要管理者持續(xù)關(guān)注，因而需要花費(fèi)相當(dāng)?shù)臅r(shí)間、精力和技術(shù)才能獲得可行的結(jié)果。 （2）不能把一個(gè)系統(tǒng)的控制方案簡(jiǎn)單移植到另一個(gè)系統(tǒng)中，甚至是一個(gè)以為類似的系統(tǒng)中。. 19.風(fēng)險(xiǎn)評(píng)估和管理方法的選擇應(yīng)考慮的因素 ⑴商務(wù)環(huán)境 ⑵商務(wù)性質(zhì)和重要性 ⑶對(duì)支持組織商務(wù)的信息系統(tǒng)的技術(shù)性和非技術(shù)性的依賴 ⑷商務(wù)及其支持系統(tǒng)、應(yīng)用軟件和服務(wù)的復(fù)雜性 ⑸商業(yè)伙伴和外部業(yè)務(wù)以及合同關(guān)系的數(shù)量 20. 風(fēng)險(xiǎn)管理實(shí)施慣例 十大最佳安全控制慣例:安全方針\安全組織\資產(chǎn)

　　2、成為VIP后，下載本文檔將扣除1次下載權(quán)益。下載后，不支持退款、換文檔。如有疑問請(qǐng)聯(lián)系我們。

　　3、成為VIP后，您將擁有八大權(quán)益，權(quán)益包括：VIP文檔下載權(quán)益、閱讀免打擾、文檔格式轉(zhuǎn)換、高級(jí)專利檢索、專屬身份標(biāo)志、高級(jí)客服、多端互通、版權(quán)登記。

　　4、VIP文檔為合作方或網(wǎng)友上傳，每下載1次， 網(wǎng)站將根據(jù)用戶上傳文檔的質(zhì)量評(píng)分、類型等，對(duì)文檔貢獻(xiàn)者給予高額補(bǔ)貼、流量扶持。如果你也想貢獻(xiàn)VIP文檔。上傳文檔

　　如何成功的申報(bào)人文社科課題-對(duì)國(guó)家級(jí)教育部社科基金申報(bào)的體會(huì)和感悟.pptx

　　11-039水輪發(fā)電機(jī)組值班員職業(yè)技能鑒定題庫(全)-單項(xiàng)操作.docx

　　IPC-A-610J-中文版 CN-2024 TOC 電子組件的可接受性.pdf

　　(滬教版2021選擇性必修一)高二數(shù)學(xué)專題訓(xùn)練專題02平面解析幾何之直線的一般式方程必考點(diǎn)專練(原卷版+解析).docx

　　原創(chuàng)力文檔創(chuàng)建于2008年，本站為文檔C2C交易模式，即用戶上傳的文檔直接分享給其他用戶（可下載、閱讀），本站只是中間服務(wù)平臺(tái)，本站所有文檔下載所得的收益歸上傳人所有。原創(chuàng)力文檔是網(wǎng)絡(luò)服務(wù)平臺(tái)方，若您的權(quán)利被侵害，請(qǐng)發(fā)鏈接和相關(guān)訴求至 電線) ，上傳者

　　九游體育 九游體育官網(wǎng)入口