信息安全风险管理,信息安全管理,王春东,武汉大学出版社.ppt

第三章 信息安全风险管理 学习目标： 定义风险管理、风险识别、风险控制； 理解如何识别和评估风险； 评估风险发生的可能性及其对机构的影响； 通过创建风险评估机制，掌握描述风险的基本方法； 描述控制风险的风险减轻策略； 识别控制的类别； 承认评估风险控制存在的概念框架，并能清楚地阐述成本收益分析； 理解如何维护风险控制 3.1 引言 风险管理：识别和控制机构面临风险的过程。 1.风险识别：检查和说明机构信息技术的安全态势和机构面临的风险。 （风险评估就是说明风险识别的结果） 2.风险控制：采取控制手段，减少机构数据和信息系统的风险。 风险管理整个过程：找出机构信息系统中的漏洞，采取适当的步骤，确保机构信息系统中所有组成部分的机密性、完整性和有效性。 3.2风险管理概述 3.2.1 知己 识别、检查和熟悉机构中当前的信息及系统。 3.2.2 知彼 识别、检查和熟悉机构面临的威胁。 3.2.3 利益团体的作用 1.信息安全 信息安全团队组成：最了解把风险带入机构的威胁和攻击的成员 2.管理人员 确保给信息安全和信息技术团体分配充足资源（经费和人员），以满足机构的安全需要。 3.信息技术 建立安全的系统，并且安全地操作这些系统 信息安全保护的对象是什么？ 资产 资产是各种威胁以及威胁代理的目标。 风险