信息安全风险评估原理和过程.pptVIP

等保测评与风险评估的区别 ? 参照标准不同 ? 等级测评： – GB 17859-1999 计算机信息系统 安全保护等级划分准则 – GB/T 22239 — 2008 信息系统安全等级保护基本要求 – GB/T 22240 — 2008 信息系统安全等级保护定级指南 – 信息系统安全等级保护测评过程指南（国标报批稿） – 信息系统安全等级保护测评要求（国标报批稿） – GB/T 25058-2010 信息系统安全等级保护实施指南 – GB/T 25070-2010 信息系统等级保护安全设计技术要求 ? 风险评估： BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 《信息安全技术 信息安全风 险评估规范》 … 等保测评与风险评估的区别 可以简单的理解为等保是标准或体 系，风险评估是一种针对性的手段。 0 2 4 6 8 10 12 物理安全 网络安全 数据安全 主机安全 应用安全 0 2 4 6 8 10 物理安全 网络安全 数据安全 主机安全 应用安全 为什么需要进行风险评估？ —— 该买辣椒水呢还是请保镖？ 什么样的信息系统才是安全的 ? 如何确保信息系统的安全 ? 两个基本问题 什么样的信息系统才是安全的 ? 如何确保信息系统的安全 ? 风险分析 风险管理 基本问题的答案 潜在损失在可以承受范围之内的系统 风险分析