ch4信息安全险评估.pptVIP

第四章 信息安全风险评估 本章学习目标 了解风险评估的概念、特点和内涵； 熟悉风险评估的过程及应注意的问题； 了解如何选择恰当的风险评估方法； 掌握典型的风险评估方法； 了解风险评估实施准备 4.1信息安全风险评估基础 GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 相关概念 资产（Asset）：任何对组织有价值的事如，是安全策略保护的对象。 威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。 脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。 风险（Risk）：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件的可能性与后果的结合。 风险评估（Risk Assessment）：对信息或信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。 残余风险（Residual Risk）：采取了安全措施后，信息系统仍然可能存在的风险。 风险要素关系 风险评估的两种方式 自评估和检查评估 1自评估 “谁主管谁负责，谁运营谁负责” 信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。 优点 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识 风险评估的两种方式