3信息安全风险评估解析.pptVIP

3.6 本章小结 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。狭义的风险评估包括：评估前准备、资产识别与评估、威胁识别与评估、脆弱性识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。 本章对信息安全风险评估的有关概念、策略、流程以及方法进行详细阐述，并通过一简单案例说明风险评估过程。信息安全风险评估是新兴的研究课题，很多方面还不够成熟，从事信息安全风险评估的学习和工作的人员应更多的从金融风险评估、环境安全风险评估、电力安全风险评估等方面借鉴有关的方法。 3.7 习题 1. 什么是信息安全风险评估？它由哪些基本步骤组成？ 2. 信息资产可以分为哪几类？请分别举出一两个例子说明。 3. 威胁源有哪些？其常见表现形式分别是什么？ 4. 请解释以下名词： （1）资产； （2）威胁； （3）脆弱性； （4）风险； （5）影响。 5. 风险评估方法分为哪几种？其优缺点分别是什么？ 6. 请写出风险计算公式，并解释其中各项所代表的含义。 7. 风险评估文件由哪些主要文档组成？ 8. 常用的综合评价方法有哪些，试进行