信息安全风险评估理论与方法.pdf

信息安全风险评估 理论与方法 “0”距离 “0”时延 “0”操心 闵京华 2010年10月18日 上海三零卫士信息安全有限公司 问题 理论 纲要 方法 实践 总结 2010-10-18 信息安全风险评估理论与方法 2 问题 • 风险评估过程中使用的方法很大程度 取决于实施风险评估人员个人的知识 和经验，缺乏系统的科学理论依据和 反映集体智慧的知识库支撑，导致评 估结果参差不齐且难以重现 • 风险评估结果大多停留在技术层面， 缺乏与业务层面和组织层面风险的联 系，导致业务人员和组织领导看不懂 风险评估报告 2010-10-18 信息安全风险评估理论与方法 3 理论 • 信息安全风险评估概念 • 信息安全风险评估原理 2010-10-18 信息安全风险评估理论与方法 4 理论 – 概念 • 信息安全风险的概念模型 2010-10-18 信息安全风险评估理论与方法 5 理论 – 概念 • 信息安全风险的五要素 – 信息资产(核心)：信息、信息系统及其支 撑环境 – 脆弱性/漏洞：技术的、管理的 – 威胁：威胁主体、威胁行为 – 影响 – 控制措施 2010-10-18 信息安全风险评估理论与方法 6 理论 – 概念 • 信息安全风险评估的概念 – 通过识别和分析信息安全风险的五要素及 其相互关系，判断信息安全事件发生的可 能性、事件后果的严重性和控制措施的有 效性，计算出信息安全风险程度的过程 2010-10-18 信息安全风险评估理论与方法 7 理论 – 概念 • 信息安全风险评估的作用 – 风险评估的结果是制定风险处理计划的依 据，也是风险管理其他过程的决策依据 – 风险评估只是为安全活动提供一个方向， 并不会导致重大的安全改进 2010-10-18