基线评价软件的设计.doc

分类号 G250 学 号 分类号 G250 学 号 2006114015 硕 士 学 位 论 文 基于ISO27000的信息安全基线评估方法及评估软件研究 谢 松 指导教师 黄水清 教授 专业名称 情 报 学 研究方向 信息安全管理 答辩日期 二○○九年六月 . Research on the Information Security Baseline Assessment Method and Software based on the ISO27000 Standards Xie Song A Thesis Submit to Nanjing Agricultural University In Partial Fulfillment of The Requirement for The Degree of Master of Management Supervised by Professor Huang Shuiqing Department of Information Management Nanjing Agricultural University Nanjing, 210095, P.R.China June 2009 原 创 性 声 明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者（需亲笔）签名： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权南京农业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密□，在 年解密后适用本授权书。本学位论文属于不保密□。 （请在以上方框内打“√”） 学位论文作者（需亲笔）签名： 年 月 日 导师（需亲笔）签名： 年 月 日 基于ISO27000的信息安全基线评估方法及评估软件研究 目 录 PAGE ii PAGE iii 目 录 TOC \o 1-3 \h \z \u 摘要 I ABSTRACT II 第1章 绪 论 1 1.1研究背景 1 1.1.1 信息安全面临的问题 1 1.1.2 问题的解决方法 2 1.2研究的目的与意义 3 1.3研究内容与技术路线 4 第2章 ISO27000标准及风险评估方法 6 2.1 ISO27000标准 6 2.1.1信息安全管理与安全管理标准 6 2.1.2 ISO/IEC 27000发展历程 9 2.1.3 ISO/IEC 27000的内容概述 9 2.2 评估方法的分类 12 2.2.1 基线评估 12 2.2.2 详细评估 12 2.2.3 组合评估 12 2.2.4 三类评估方法的比较 13 第3章 基线评估软件与方法 14 3.1 基线评估软件 14 3.1.1 COBRA 14 3.1.2 Callio Secura 17799 14 3.1.3 Info-Riskmanager 14 3.1.4 XACTA IA Manager 15 3.1.5 评估工具小结 15 3.2 基线评估方法的类型 16 3.2.1定性基线评估 16 3.2.2 定量基线评估 16 3.2.3 定性与定量相结合的综合评估方法 17 3.2.4 基线评估方法的设计 17 3.3 问卷体系的设计原则 17 3.3.1 问题的来源与分类 17 3.3.2 题型与分值设置 18 3.4风险值计算 18 3.4.1 风险得分计算 18 3.4.2 风险指数计算 19 第4章 基线评估的问卷体系 20 4.1 管理类问卷 20 4.1.1 信息安全方针 20 4.1.2 组织信息安全 21 4.1.3 资产管理 22 4.1.4 人力资源安全