信息系统的安全跟持续性计划ppt.pptVIP

CIA培训教案之四 作者：乔鹏 信息系统的安全与持续性计划 －－中级培训补充材料（不考） 主要内容： 信息系统的风险 信息系统的安全控制 物理控制与环境控制 逻辑访问控制 网络控制 持续性计划（灾难恢复计划） 信息系统的应用控制 1.信息系统的风险 风险的概念：风险是发生某种威胁使资产损失或破坏的潜在可能。 风险的概念包括以下内容： 威胁、薄弱点、处理过程或资产； 对资产基于威胁和薄弱点的影响； 袭击的可能性。 风险评价管理过程 信息系统资产 信息和数据 硬件 软件 服务 文档 人员 另外还有一些需要考虑的传统资产包括：建筑物、存货、资金和无形资产等。 信息的潜在威胁 错误 恶意破坏 欺诈 盗窃 软硬件故障 信息系统的薄弱点 用户缺乏知识 缺乏安全措施 口令缺少变化 未经测试的技术 无保护的数据传输 威胁一旦发生所造成的影响 直接的经济损失 违反法律 名誉声望受损 员工或客户受到威胁 信心受损 商业机会的损失 经营效率与性能的降低 商业经营中断。 整体风险 整体风险是对企业风险的整体评价，通常做法是： ∑影响×可能性 剩余风险 剩余风险是采用控制以后所遗留的风险水平。 管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。 2.信息系统的安全控制 控制的基本概念 物理控制与环境控制 逻辑访问控制 网络控制与互联网的使用 控制的基本概念