基于ISO17799信息安全管理体系风险评估-计算机系统结构专业论文.docx

摘 摘 要 信息系统是一个组织运作的核心。信息系统的安全管理工作是一个动态循环演 化的过程。风险评估作为其中的一个重要环节，为信息系统安全管理动态模型的 持续改进提供了目标和要求。以往的信息系统安全管理工作存在与安全技术结合 不紧密的缺陷，导致许多组织重视安全技术，忽视安全管理。本文在当前已有理 论成果的基础上，提出了与信息安全技术相适应的信息安全纵深管理体系，加强 了两者之间的联系，提高了风险管理工作的地位。 本文在上述理论论证的指导下，参考安氏PADIMEE模型，并以ISO／IEC 17799 为基础，建立了风险评估改进模型，完成了信息安全体系风险评估工具的数据库 设计和程序设计，提高了风险评估工作的效率，增加了其结果的可信度与可比性， 促进了国内信息安全管理工作的发展。 关键词：信息系统安全管理风险管理风险评估 IS0／IECl7799 AbstractInformation Abstract Information system is the kernel of one organization．The security management of information system is a dynamic circulatory evolutive process．As one important portion of it，risk assessment provides the goal and require for the continual improvement of dynamic information system security management model By the shortage of incompact integration between security management and security technology，many organizations attach importance to security technology and less notice for security management． Based on the current theory results，this paper builds the Management—in-Depth System of Information Security that adaptive to information security technology．This work enhances the connection between security management and security technology,and heightens the status of risk management． Under the guidance of this theory,this paper build the improved risk assessment model based on PADIMEE model and ISO／IEC 1 7799，and finishes the database design and software design of information security system risk assessment kit．The result increases the efficiency of risk assessment work，enhances the reliability and comparability of risk assessment result，and develops the information security management of our country． Keyword：information system security management risk management risk assessment ISo，IECl7799 创新性声明本人声明所呈交的论文是我个人在导师的指导下进行的研究工作及取得的研 创新性声明 本人声明所呈交的论文是我个人在导师的指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，沦文中 不包含他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 蜇!金通 同期竺堡卜! 关于论文使用授权的说明 本人完全了解西安电子科技大学有关