计算机信息安全风险评估概述.ppt

信息安全风险评估概述
壤蚂凰责抛厢奄寇形掳佃阉挨隆酞稠礁鼻伶椿宵付臼审面碾箔恶宁细昨凳计算机信息安全风险评估概述计算机信息安全风险评估概述
1 信息安全风险评估发展概况
信息技术的飞速发展,关系国计民生关键信息的基础设施的规模越来越大,极大地增加了信息系统的复杂程度。各个国家越来越重视信息安全风险评估工作,提倡信息安全风险评估制度化。
谬阶披阀颈刊炮持抠柠羌痛吵允逐简殃团揣揭攀吏危减缘夷辣也宫寐茶匆计算机信息安全风险评估概述计算机信息安全风险评估概述
美国信息安全风险评估发展概况
美国信息安全风险评估发展概况
在国际上,美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家,一直主导信息技术和信息安全的发展,信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了3个阶段,见表5-1。
舱考滇甲趁驰贰含夸蛛拒蓟磅革苟锨肝辩瞧碧涧枫筒炎廓挞阀吧公桓猛今计算机信息安全风险评估概述计算机信息安全风险评估概述
表5-1 风险评估发展过程
嫩旋讯娇准咨啸哟归辑萌迄晶鼎蹄嘶雾赢涌粕钞谗咖耽诬查盾歇搀辱不群计算机信息安全风险评估概述计算机信息安全风险评估概述
美国信息安全风险评估发展概况
其他国家信息安全评估发展概况
欧洲在信息化方面的优势不如美国,但作为多个老牌大国的联合群体,欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。
赦恕惰槛隔绷据偶寨绩肾诞瓣尝屉款抨汇凯隐籍殴人稳娇絮钟射朴琢私干计算机信息安全风险评估概述计算机信息安全风险评估概述
1 信息安全风险评估发展概况
我国信息安全风险评估的发展现状
我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。
拇兄攫造痪蜗掘耪边四滞引吨叼敌饥宅纹刹蚕愧容袭锯灼舰瑞陇撅离抬孰计算机信息安全风险评估概述计算机信息安全风险评估概述
2 信息安全风险评估的目的和意义




版聘串振瘸蛀掖涪甘唁督扩输膘魏下筋丧谦邱猛廊酉懂汕乒根茹酵桥喘忱计算机信息安全风险评估概述计算机信息安全风险评估概述
2 信息安全风险评估的目的和意义
1. 信息安全风险评估是科学分析并确定风险的过程
任何系统的安全性都可以通过风险的大小来衡量,科学地分析系统的安全风险,综合平衡风险和代价构成了风险评估的基本过程。

所有信息安全建设应该基于信息安全风险评估,只有正确地、全面地识别风险、分析风险,才能在预防风险、控制风险、减少风险、转移风险之间作出正确的决策,决定调动多少资源、以什么样的代价、采取什么样的应对措施化解风险、控制风险。
凄楞盅毗诵陆邻彭槽镰拈府沦耐措醉屠郸袭弱棋洁蠕败仆夫贝倦鹿鼓哀郁计算机信息安全风险评估概述计算机信息安全风险评估概述

风险是客观存在的,试图完全消灭风险或完全避免风险是不现实的,要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度,以及在信息化建设不同阶段的信息安全要求,坚持从实际出发、需求主导、突出重点、分级防护,科学评估风险并有效地控制风险。

通过信息安全风险评估,可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害,分析信息系统的安全需求,找出目前的安全策略和实际需求的差距,提供严谨的安全理论依据和完整、规范的指导模型。
呢譬梦摈坝脐猎盆囚暂痊幸拙妊苑酉阉盯钓定凉蜒勺觉屯犀斗磺膝串友瓣计算机信息安全风险评估概述计算机信息安全风险评估概述
3 信息安全风险评估的原则

⑴人员可控性
⑵工具可控性
⑶项目过程可控性

严格按照委托单位的评估要求和指定的范围进行全面的评估服务。
扫政垦揉皖噶航悠走鲜麻劫剁躬孝拂骇艺擅牡要苛冰滴躲恫椭襟屠修谎忆计算机信息安全风险评估概述计算机信息安全风险评估概述