信息安全风险评估与风险管理(74页)讲解.pptVIP

信息安全风险评估与风险管理 目录 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 信息安全的定义 机密性（integrity）： 确保该信息仅对已授权访问的人们才可访问 只有拥有者许可，才可被其他人访问 完整性（confidentiality）： 保护信息及处理方法的准确性和完备性； 不因人为的因素改变原有的内容，保证不被非法改动和销毁 可用性（availability）： 当要求时，即可使用信息和相关资产。 不因系统故障或误操作使资源丢失。 响应时间要求、故障下的持续运行。 其他：可控性、可审查性 Key words I 信息安全：信息的保密性、完整性、可用性的保持。 风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。 风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。 威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。 Key word II 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或