信息系统的安全与持续性计划.pdf

信息系统的安全与持续性计划 －－中级培训补充材料 （不考） 1 主要内容： 信息系统的风险 信息系统的安全控制 物理控制与环境控制 逻辑访问控制 网络控制 持续性计划 （灾难恢 复计划） 信息系统的应用控制 2 1.信息系统的风险 风险的概念：风险是发生某种威胁使资产损失或破坏的 潜在可能。 风险的概念包括以下内容： 威胁、薄弱点、处理过程或资产； 对资产基于威胁和薄弱点的影响； 袭击的可能性。 3 风险评价管理过程 第一步 第二步 第三步 第四步 确认信息 潜在威胁 确认和评估 获得具有成本效益 系统资产 与影响 安全措施 的控制对策 4 信息系统资产 信息和数据 硬件 软件 服务 文档 人员 另外还有一些需要考虑的传统资产包括：建筑物、 存货、资金和无形资产等。 5 信息的潜在威胁 错误 恶意破坏 欺诈 盗窃 软硬件故障 6 信息系统的薄弱点 用户缺乏知识 缺乏安全措施 口令缺少变化 未经测试的技术 无保护的数据传输 7 威胁一旦发生所造成的影响 直接的经济损失 违反法律 名誉声望受损 员工或客户受到威胁 信心受损 商业机会的损失 经营效率与性能的降低 商业经营中断。 8 整体风险 整体风险是对企业风险的整体评价，通常 做法是： ∑影响×可能性 9 剩余风险 剩余风险是采用控制以后所遗留的风 险水平。 管理人员使用剩余风险确认某些地方 是否需要更多的控制措施以进一步降低 风险。 10 2.信息系统的安全控制 控制的基本概念 物理控制与环境控制 逻辑访问控制 网络控制与互联网的使用 11 控制的基本概念 控制是为实现企业目标，避免、检查、 纠正不受欢迎事件发生提供合理担保的 政策、措施和组织结构。 控制目标是通过实施控制过程要达到的 目的或结果。