计算机信息安全风险评估概述.pptVIP

信息平安风险评估概述;1信息平安风险评估开展概况;1.1美国信息平安风险评估开展概况;表5-1风险评估开展过程;1.1美国信息平安风险评估开展概况;1信息平安风险评估开展概况;2信息平安风险评估的目的和意义;2信息平安风险评估的目的和意义;3．信息平安风险评估是需求主导和突出重点原那么的具体表达

风险是客观存在的，试图完全消灭风险或完全防止风险是不现实的，要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度，以及在信息化建设不同阶段的信息平安要求，坚持从实际出发、需求主导、突出重点、分级防护，科学评估风险并有效地控制风险。

4．信息平安风险评估是组织机构实现信息系统平安的重要步骤

通过信息平安风险评估，可全面、准确地了解组织机构的平安现状,发现系统的平安问题及其可能的危害，分析信息系统的平安需求,找出目前的平安策略和实际需求的差距，提供严谨的平安理论依据和完整、标准的指导模型。;3信息平安风险评估的原那么;;4信息平安风险评估的概念;4信息平安风险评估的概念;4.3信息平安风险评估的两种方式;4.4信息平安风险评估的分类;4.4信息平安风险评估的分类;

5国外信息平安风险评估标准

;5.1OCTAVE;;5.1.2OCTAVEMethod

;OCTAVEMethod包括3个阶段8个过程：

第1阶段：建立基于资产的威胁配置文件

第2阶段：识别根底设施的薄弱点

第3阶段：开发平安策略和方案;;;第三阶段：开发平安策略和方案

第3阶段旨在理解迄今为止在评估过程中收集到的信息，即分析风险。

本阶段主要由2个过程组成：

·过程7：执行风险分析，包括识别关键资产的威胁所产生的影响、制定风险评估标准、评估关键资产的威胁所产生的影响等；

·过程8：开发保护策略，评估小组开发整个组织的保护策略，该策略注重于提高组织的平安实践，以及关键资产的重要风险的削减方案。;5.1.3OCTAVE-S;1．第1阶段：建立资产的威胁描述文件

本阶段主要由2个过程组成：

·过程S1：收集组织信息。分析小组应识别与组织重要信息相关的资产，确定一组评估标准，并定义组织当前的平安实践状况；

??过程S2:建立威胁描述。分析小组应选择3～5个关键信息资产，并为每个关键信息资产定义相应的平安要求和威胁描述文件。;;3．第3阶段：开发平安策略和方案

本阶段主要由2个过程组成：

·过程S4：确定和分析风险。分析小组就风险所产生的影响、发生的可能性进行评估；

·过程S5：开发保护策略和风险降低方案。评估小组根据实际情况，开发一个整个组织范围的的保护策略和风险削减方案。;5.2SSE-CMM

;SSE-CMM模型将信息系统平安工程分为3个相互联系的局部：风险评估、工程实施和可信度评估。针对这三个局部SSE-CMM定义了11项关键过程〔PA〕，并为每个过程定义了一组完成该过程必不可少确实定的根本实践〔BP〕。同时模型还定义了5个能力成熟度等级.;从整体上看，SSE-CMM模型定义了一个“二维〞架构，横轴上是11个系统平安工程的过程域，纵轴上是5个能力成熟度等级，如果给每个过程域赋予一个能力成熟度等级的评定，所得到的“二维〞图形便形象地反映了平安工程的质量以及工程在平安上的可信度，也间接地反映了工程队伍实施平安系统工程的能力成熟性。;5.2.2平安工程过程;2．工程过程

平安工程是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。针对工程实施管理，SSE-CMM模型定义了平安需求说明过程〔PA10〕，平安方案制定过程〔PA09〕，平安控制实施过程〔PA01〕，平安状态监测过程〔PA08〕。平安工程不是一个独立的实体，而是整个信息系统工程的一个组成局部，模型强调系统平安工程与其它工程的合作和协调并定义了专门的协调平安过程〔PA07〕。;3．保证过程

保证是指平安需求得到满足的信任程度。用可信度描述对建立的平安系统正确执行其平安功能的信心究竟有多大度。SSE-CMM模型在信任度问题上强调对平安工程结果可重复性的信任程度，它通过对现有系统平安体系真实性和有效性的测试〔PA11〕来构造系统平安可信度论据〔PA06〕。;5.2.3能力成熟度等级

;3级：完好定义的过程。过程域的所有根本实践均应依照一组完善定义的操作标准来进行。这组标准是实施队伍根据以往经验制订出来的，其合理性是验证过的。

4级：定量控制的过程。能够对实施队伍的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动。

5级：持续改善的过程。为过程行为的高效和实用建立定量的目标。可以准确地度