信息安全风险评估及风险管理.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 测试 * 测试 * * * 反映了： 资产名称 资产面临的威胁 可能被威胁利用的脆弱电 威胁发生的可能性 威胁的影响程度 4.5信息资产综合风险值表 风险评估的输出结果——资产风险表 反映了： 资产名称 威胁/薄弱点 风险系数 风险处理措施 优先处理等级，等。 4.6不可接受风险处理计划表 风险评估的输出结果——风险处理计划 风险评估报告 评估方法 信息系统分析与描述 业务信息流分析 资产识别与划分 威胁分析 安全风险分析与统计 信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括： 主要服务器操作系统、数据库系统 应用系统 网络与交换设备 安全管理体系 物理环境 4.7 风险评估报告 风险评估的输出结果——风险评估报告 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 目录 风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一项基础性工作。 1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面 2、信息安全风险管理贯穿信息系统生命周期的全部过程。