计算机系统安全原理与技术（第3版）作者陈波第9章计算机系统安全风险评估课件.pptVIP

计算机系统安全原理与技术（第3版） 计算机系统安全原理与技术（第3版） 计算机系统安全原理与技术（第3版） 第9章 计算机系统安全风险评估 * 计算机系统安全原理与技术（第3版） * 本章主要内容 安全风险评估概述 安全风险评估的实施 信息系统安全风险评估实例 计算机系统安全原理与技术（第3版） * 9.1安全风险评估概述9.1.1 安全风险评估途径 1．基线评估(Baseline Risk Assessment) 采用基线风险评估，组织根据自己的实际情况(所在行业、业务环境与性质等)，对信息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。 组织可以根据以下资源来选择安全基线： 国际标准和国家标准。 行业标准或推荐标准。 来自其他有类似商务目标和规模的组织的惯例。 计算机系统安全原理与技术（第3版） * * 9.1安全风险评估概述9.1.1 安全风险评估途径 2．详细评估 详细评估要求对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。 这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者采用的安全控制措施是恰当的。 计算机系统安全原理与技术（第3版） * * 9.1安全风险