信息安全风险评估培训.pptxVIP

信息安全风险评估——从深夜一个回家的女孩开始讲起……什么是风险评估？风险评估的基本概念各安全组件之间的关系通俗的比喻资产100块服务器威胁小偷黑客弱点打瞌睡软件漏洞风险钱被偷被入侵数据失密影响没饭吃 概 述风险在信息安全领域，风险（Risk）就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。 风险评估（Risk Assessment）就是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安全风险及其大小的过程。风险评估风险管理 风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。 相关概念 资产（Asset）—— 任何对企业具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat）—— 可能对资产或企业造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk）—— 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood）—— 对威胁发