网险评估简阶
WTLi+Lirr ka
LDGO
属验评估简分
目感
风险评估概述
风险评估的依据及原则
·风险评估流程
风险评估的方法
风险评估的输出结果
Q&A
风险评估橛述
险在信息安全领域,风险(Rk)
就是指信息资产遭受损坏并给企业带
来负面影响的潜在可能性。
风险评估( Risk Assessment
就是对信息和信息处理设施面临的
风险评
威胁、受到的影响、存在的弱点以
残签生单可能性的讯
风险管理( Risk management)
就是以可接受的代价,识别、控制、
减少或消除可能影响信息系统的安全
风除的讨积
风险评估与管理的目标
威胁发生的可能性
低影响
高可能性
低影响
高影响
低可能性
低可能性
威胁带来的影响
采取有效措施,降低威胁事件发生的可能性,
或者减小威胁事件造成的影响,从而将风险消减
风险评估与管理的目标
资产
资产
风险
RISK
威胁
威胁
漏洞
漏洞
基本的风险
采取措施后剩余的风险
绝对安全是不存在的!
■绝对的零风险是不存在的,要想实现零风险,也
是不现实的;
其可用性越低,需要
“真正安全的计算机是拔下网线,断
掉电源,放置在地下掩体的保险柜中,
并在掩体内充满毒气,在掩体外安排
士兵守卫
显然,这样的计算机是无法使用的。
关键是实现成本利益的平衡
高
「安全事件的掘失
损安
失全
安全控制的成
成本低
最小化的总
所提供的安全水高
平
与风险评估相关的概念
◆资产( Asset
任何对组织具有价值的东西,包括计算机硬件、通信设
施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保
护
◆威胁( Threat)
可能对资产或组织造成损害的某种安全事件发生的潜
在原因,通常需要识别出威胁源( Threat source)或威胁代理( Threat agent)
◆弱点( Vulnerability)
也被称作漏洞或脆弱性,即资产或资产组中
存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害
◆可能性( Likelihood)-对威胁发生几率( Probability)或频率
( Frequency)的定性描述
影响( Impact)—一后果( Consequence),意外事件发生给组织带来的直
接或间接的损失或伤害
安全措施( Safeguard)
控制措施( contro)或对策
( countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风
险的机制、方法和措施
风险评估简介 来自淘豆网m.daumloan.com转载请标明出处.
