资讯安全风险与管理.pptVIP

第十一章 資訊安全風險評估與管理 11-1 風險評估與管理基本概念 11-2 風險評估過程 11-3 風險控制過程 11-4 風險評估與管理方法 11-1 風險評估與管理基本概念 什麼時候才能阻止網路駭客入侵？人類文明已有四千年歷史，何時才能讓犯罪成為絕響？答案是：永遠不會。網路世界也是一樣的道理，我們最多能做的就是儘可能管理風險，將風險降到最低，一如在實體世界的做法。 11-1-1 與風險評估有關的概念 1.威脅（Threat），是指可能對資產或組織造成損害事故的潛在原因。 2.薄弱點（Vulnerability），是指資產或資產組中能被威脅利用的弱點。 3.風險（Risk）是特定威脅事件發生的可能性與後果的結合。 4.風險評估（Risk Assessment），對資訊和資訊處理設施的威脅、影響和薄弱點及三者發生可能性的評估。 11-1-2 與風險管理有關的概念 1.風險管理（Risk Management），以可接受的費用識別、控制、降低或消除可能影響資訊系統的安全風險的過程。 2.安全控制（Security Control），降低安全風險的慣例、程序或機制。 3.剩餘風險（Residual Risk），實施安全控制後，剩下的安全風險。 4.適用性聲明（Applicability Statement），適用於組織需要的目標和控制的評述。 11-1-3 術語概念之