zoukankan      html  css  js  c++  java
  • 《信息安全风险管理》梗概

    第一章、概述

    一、什么是信息安全风险?
    威胁利用脆弱性对风险管理对象造成的不确定性影响。

    二、什么是风险管理?
    对风险的定义、测量、评估和应对风险的策略。
    目的是将能够规避的风险、成本以及损失最小化。
    信息安全风险管理是一个持续的管理过程,包括:建立风险评估框架、实施风险评估、利用风险处置计划实施风险建议和决策并处置风险,最后通过评审持续改进。

    三、风险管理到底管什么?
    以业务为中心,管理
    数据:视频、声音、图形,继而具体到数据的具体存储格式
    载体:承载信息的媒介,有形载体、无形载体
    环境和边界:环境(数据和承载数据的载体所依赖的软硬件资源,进而扩展到软硬件资源所依赖的具体环境)

    4、风险管理的环节:
    1、确定风险管理框架
    2、风险识别
    3、风险分析
    4、风险处理(回避、降低、转移、接受)
    5、风险管理评审

    四、 风险管理的模型常用模型:

    • PDR(保护、检测、响应)
    • P2DR(安全策略、保护、检测、响应)
    • PDRR(保护、检测、响应、恢复)
    • MPDRR(管理、保护、检测、响应、恢复)
    • WPDRRC(预警、保护、检测、响应、恢复、反击) Counterattack(反击)
    1. 风险管理的对象本质对象:业务实体对象:数据、载体、环境与边界
    2. 风险管理的环节:确定管理框架、风险识别、风险分析、风险评价、风险处置、风险管理评审

    第二章、信息安全风险管理相关标准

    1. ISO/IEC31000
    2. ISO/IEC 13335
    3. ISO/IEC 27005
    4. 卡内基梅隆
    5. GB/T 20984

    第三章、信息安全风险评估的实现

    1. 风险评估的原则:
      1)、标准性原则
      2)、关键业务原则
      3)、可控性原则
      4)、最小影响原则
      5)、可恢复性原则
      6)、保密性原则

    2. 风险评估过程:风险识别、风险分析、风险评价

    • 风险识别:资产识别、威胁识别、脆弱性识别、确认已有安全措施
    • 风险分析:风险是否需要被处理以及最适当的处理策略和方法,包括风险值的计算和已有安全措施的确认
    • 风险评价:将风险分析的结果与预先设定的风险准则相比较,确认风险,制定和实施风险处理计划并评估残余风险,以及是否接受残余风险。

    第四章、信息安全风险处置

    1. 风险处理过程框架
      (1)、明确风险处置的目标
      (2)、制定风险处理计划并定义各处理计划的优先级
      (3)、确定风险安全处置的依据和办法
      (4)、编制风险处置方案
      (5)、实施风险处理方案并检测结果

    2. 风险处理方法
      (1)、风险规避(避免目标遭受风险的影响)
      (2)、风险转移
      (3)、风险降低
      (4)、风险接受

    风险评估工具:
    • 风险评估与管理工具
    • 系统基础平台风险评估工具
    • 风险评估辅助工具

    风险评估与管理工具:
    (1)、基于信息安全标准的
    (2)、基于知识的
    (3)、基于模型的

  • 相关阅读:
    面向对象简述
    python面向对象
    Python中int()函数的用法浅析
    给定一个字符串 s,找到 s 中最长的回文子串。你可以假设 s 的最大长度为1000。
    python中关于round函数的小坑
    Xmind8破解,以及相关的流程和破解包
    生成器和生成器表达式
    brush图标
    js声明全局变量的方式
    js修改全局变量
  • 原文地址:https://www.cnblogs.com/ffx1/p/12653657.html
Copyright © 2011-2022 走看看