《风险评估_1ppt培训课件》由会员分享,可在线阅读,更多相关《风险评估_1ppt培训课件(50页珍藏版)》请在金锄头文库上搜索。
1、匡墨*风险评估概述*风险评估的依据及原则*风险评估流程“风险评佑的方法“风险评估的输出结松Q&AW险。在信息安全领域,风险(Risk)就是指信息资产遣受损坏并给企业带来负面影响的潜在可能性。风义i古(RiskAssessments风险评就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以招可能性的评佼。风险管理CRiskManagement)就是以可接受的代价,识别、控制、湘少或消除可能影响信息系统的安全罗RH风险评估与管理的目标倩薛驭吊华育罗渡威肋带来的影响采取有效措施,降低威胁事件发生的可能性,或者减小威胁事件造成的影响,从而将风险消减风险评估与管理的目标采取措施后剩余的风险绝对安
2、全是不存在的!里“绝对的零风险是不存在的,要想实现零风险,也是不现实的;计寡奚罕箬馨L1越曰格基町用芦伸吏蓼“真正安全的计算机是拨下网线,掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。“显然,这样的计算机是无法使用的。关键是实现成本利益的平衡低所提供的安全水高平与风险评估相关的概念余资产(Asset)一一fqx钒织几有价值的东虬包括计算机硬f骠、建筑物、数据库、文档信息、软件、燮威胁(T帷町)可能对资产或组织造成捣害的棣种安全事件发生的潜也被秘作漾性,卵资产或资产组中日坂就可绑对赉产近成报害。能性CLikelihood一一一加呆胆发生儿率CProbabitity)
3、或频率CFrequeney)的定性揣述。余影响CImpact一一一后果CConsequence),意外事件发生给组织带江的直接或间接的损失或伍害余安伟措施(Safeguard一一一挚制排施Ccontro)或对策(eountermeasure,即通过防范威胁、减少骏点、限制意外事件带籼影响等途往来消凝风险的机制、方法和措施度5RBDpAFsssaDshy心奂JiirNuoCnemeatt与风险评估相关的概念量保密性(confidentiality一一一数据所具有的特性,即表示数据所达到的未提供或未泄需给非授权的个人、过程或其他实体的程度国完整性(integrity一一佳诉信息及信息系统不会袖非授权更改或破坏的特性。包括数据完茵祚和系统完旁性。量可用性(aVaiiaiiiity-一数探或资源的待性,袋捣权实体按要求能访问和使用数据或资源。