《信息安全風(fēng)險管理》梗概

第一章贪惹、概述

一苏章、什么是信息安全風(fēng)險？
威脅利用脆弱性對風(fēng)險管理對象造成的不確定性影響奏瞬。

二枫绅、什么是風(fēng)險管理？
對風(fēng)險的定義硼端、測量并淋、評估和應(yīng)對風(fēng)險的策略。
目的是將能夠規(guī)避的風(fēng)險珍昨、成本以及損失最小化县耽。
信息安全風(fēng)險管理是一個持續(xù)的管理過程，包括：建立風(fēng)險評估框架镣典、實(shí)施風(fēng)險評估兔毙、利用風(fēng)險處置計劃實(shí)施風(fēng)險建議和決策并處置風(fēng)險，最后通過評審持續(xù)改進(jìn)兄春。

三澎剥、風(fēng)險管理到底管什么？
以業(yè)務(wù)為中心赶舆，管理
數(shù)據(jù)：視頻哑姚、聲音、圖形芜茵，繼而具體到數(shù)據(jù)的具體存儲格式
載體：承載信息的媒介叙量，有形載體、無形載體
環(huán)境和邊界：環(huán)境（數(shù)據(jù)和承載數(shù)據(jù)的載體所依賴的軟硬件資源夕晓，進(jìn)而擴(kuò)展到軟硬件資源所依賴的具體環(huán)境）

4宛乃、風(fēng)險管理的環(huán)節(jié)：
1、確定風(fēng)險管理框架
2蒸辆、風(fēng)險識別
3征炼、風(fēng)險分析
4、風(fēng)險處理（回避躬贡、降低谆奥、轉(zhuǎn)移、接受）
5拂玻、風(fēng)險管理評審

四酸些、風(fēng)險管理的模型常用模型：

PDR（保護(hù)宰译、檢測、響應(yīng)）
P2DR（安全策略魄懂、保護(hù)沿侈、檢測、響應(yīng)）
PDRR（保護(hù)市栗、檢測缀拭、響應(yīng)、恢復(fù)）
MPDRR（管理填帽、保護(hù)蛛淋、檢測、響應(yīng)篡腌、恢復(fù)）
WPDRRC（預(yù)警褐荷、保護(hù)、檢測嘹悼、響應(yīng)叛甫、恢復(fù)、反擊） Counterattack(反擊)

風(fēng)險管理的對象本質(zhì)對象：業(yè)務(wù)實(shí)體對象：數(shù)據(jù)绘迁、載體合溺、環(huán)境與邊界
風(fēng)險管理的環(huán)節(jié)：確定管理框架、風(fēng)險識別缀台、風(fēng)險分析棠赛、風(fēng)險評價、風(fēng)險處置膛腐、風(fēng)險管理評審

第二章睛约、信息安全風(fēng)險管理相關(guān)標(biāo)準(zhǔn)

ISO/IEC31000
ISO/IEC 13335
ISO/IEC 27005
卡內(nèi)基梅隆
GB/T 20984

第三章、信息安全風(fēng)險評估的實(shí)現(xiàn)

風(fēng)險評估的原則：
1）哲身、標(biāo)準(zhǔn)性原則
2）辩涝、關(guān)鍵業(yè)務(wù)原則
3）、可控性原則
4）勘天、最小影響原則
5）怔揩、可恢復(fù)性原則
6）、保密性原則
風(fēng)險評估過程：風(fēng)險識別脯丝、風(fēng)險分析商膊、風(fēng)險評價

風(fēng)險識別：資產(chǎn)識別、威脅識別宠进、脆弱性識別晕拆、確認(rèn)已有安全措施
風(fēng)險分析：風(fēng)險是否需要被處理以及最適當(dāng)?shù)奶幚聿呗院头椒ǎL(fēng)險值的計算和已有安全措施的確認(rèn)
風(fēng)險評價：將風(fēng)險分析的結(jié)果與預(yù)先設(shè)定的風(fēng)險準(zhǔn)則相比較材蹬，確認(rèn)風(fēng)險实幕，制定和實(shí)施風(fēng)險處理計劃并評估殘余風(fēng)險吝镣，以及是否接受殘余風(fēng)險。

第四章昆庇、信息安全風(fēng)險處置

風(fēng)險處理過程框架
（1）末贾、明確風(fēng)險處置的目標(biāo)
（2）、制定風(fēng)險處理計劃并定義各處理計劃的優(yōu)先級
（3）凰锡、確定風(fēng)險安全處置的依據(jù)和辦法
（4）未舟、編制風(fēng)險處置方案
（5）圈暗、實(shí)施風(fēng)險處理方案并檢測結(jié)果
風(fēng)險處理方法
（1）掂为、風(fēng)險規(guī)避（避免目標(biāo)遭受風(fēng)險的影響）
（2）、風(fēng)險轉(zhuǎn)移
（3）员串、風(fēng)險降低
（4）勇哗、風(fēng)險接受

風(fēng)險評估工具：

風(fēng)險評估與管理工具
系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具
風(fēng)險評估輔助工具

風(fēng)險評估與管理工具：
（1）、基于信息安全標(biāo)準(zhǔn)的
（2）寸齐、基于知識的
（3）欲诺、基于模型的

最后編輯于：2018.09.15 20:13:29

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者