信息安全管理 第9讲 信息安全风险评估(2007年11月26日)(有待进一步改进).pptVIP

第9讲 信息安全风险评估 1 概述 1.1 信息安全风险评估相关要素 1.2 信息安全风险评估 1.3 风险要素相互间关系 1.1 信息安全风险评估相关要素 资产 威胁 脆弱点 风险 影响 安全措施 安全需求 资产 根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西，资产包括： 物理资产（如，计算机硬件，通讯设施，建筑物）； 信息/数据（如，文件，数据库）； 软件； 提供产品和服务的能力； 人员； 无形资产（如，信誉，形象）。 我国的《信息安全风险评估指南》认为 资产是指对组织具有价值的信息资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。 根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类，如表3-1所示 两种看法之比较： 两种定义基本上是一致的，所包含的内容也基本是一致的，主要的区别在于后者把资产限定在“信息资源”范围内，这是基于信息安全风险评估应的特殊性的考虑，信息安全风险评估应重点分析信息资产面临的风险。 从具体分类明细看，后者还是包含了其他内容，如保障设备、人员、企业形象、客户关系等，这些未必都能视为信息资产。 威胁 威胁是可能对资产或组织造成损害的潜在原因。 威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的