原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
第1章 概述
本章从信息安全风险管理基本模型出发,阐述风险的起源、特性、要素、关系和风险管理的基本概念。
内容提要
风险与风险管理的基本概念风险管理模型
风险与风险管理的基本概念
风险管理模型
风险的基本特性
风险的构成要素及关系
风险与风险管理的基本概念
要求:理解风险的定义,理解风险管理的基本思想。
重点:风险,风险管理,信息安全风险,信息安全风险管理。
风险的起源
风险的起源
中国信息安全认证中心信息安全保障人员认证1234
中国信息安全认证中心信息安全保障人员认证
1
2
3
4
什么是风险?
1987年威森(Wison):“不确定性,定义为期望值。”
1989年马斯克里(Maskrey):“某种自然灾害发生的可能性。”
1991年联合国赈灾组织:“风险是在特定的区域以及给定的时间段内,由某种自然灾害而导致的人们生命财产和经济活动的的期望损失值。”
1997年托宾(Tobin)和门茨(Montz):“风险是某一个
灾害发生的可能性概率和期望损失的乘积。”
1998年黛尔(Deyle):“风险是对某一灾害概率和结果的描述。”
2007年国际标准化组织(ISO):“对目标不确定性影响。”
什么是信息安全风险?
“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。”
----摘自《GB/T20984-2007信息安全技术信息安全风险评估规范》
在出海打渔的过程中,“风”即意味着“险”,“风险”一词由此而来。
风险的管理
风险的管理
什么是风险管理?
“风险管理(RiskManagement)是一个管理过程,包括对风险的定义、测量、评估和应对风险的策略。”
风险管理目的
“风险管理的目的是将能够避免的风险、成本以及损失最小化。”
风险管理的主要任务
“建立风险管理框架;”
“实施风险评估;”
“风险处置;”
“整个风险管理过程的持续改进。”
什么是信息安全风险管理?
《GB/Z 24364-2009 信息安全技术 信息安全风险管理指南》:
“信息安全风险管理是识别、控制、消除或最小化可能影响系统资
源的不确定因素的过程。”
“信息安全风险管理的内容和过程:
背景建立
风险评估
风险处理
批准监督
监控审查
沟通咨询
典型例题(单选)
典型例题(单选)
1、风险是指()
对目标的不确定性影响;
对某一灾害概率与结果的描述;
威胁利用脆弱性对风险管理对象所造成的不确定性影响;
某一灾害发生的可能性概率和期望损失的乘积。
2、风险管理是指()
管理主体,有效组织并利用其各个要素(人、财、物、信息和时空),借助管理手段,完成该组织目标的过程。
为了实现某种目的而进行的决策、计划、组织、指导、实施、控制的过程。
促使系统整体产生放大效应,实现整体优化的一个过程。
一个管理过程,包括对风险的定义、测量、评估和应对风险的策略。
3、以下关于风险管理说法错误的是()
风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程;
风险管理包括了对风险的度量、评估和应变
策略;
理想的风险管理,正希望能够花最少的资源去尽可能化解最大的危机;
理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理,而相对风险较低的事情则稍后处理。
典型例题(多选)
典型例题(多选)
4、风险管理过程错误顺序的是()
A.风险识别、风险评价、风险分析、风险处置
B.风险识别、风险分析、风险评价、风险处置
C.风险评价、风险识别、风险处置、风险分析
D.风险处置、风险识别、风险评价、风险分析
5、信息安全风险管理包含哪些过程()
实施风险评估;
对整个管理过程实施评审达到整个管理过程
的持续改进;
建立合适的风险管理框架;
利用风险处置计划实施风险建议和决策并处
置风险。
信息安全风险管理模型
要求:了解信息安全保障模型,理解信息安全风险管理模型,
理解信息安全风险管理的六个环节。
重点:信息安全保障模型组成要素,信息安全风险管理模型中的六个管理环节,模型与信息安全风险管理技术之间的关系。
CISAW信息安全保障模型
CISAW信息安全保障模型
中国信息安全认证中心信息安全保障人员认证1234
中国信息安全认证中心信息安全保障人员认证
1
2
3
4
信息安全
保障模型
(形象地比喻为“莲花宝座”)
本质对象
业务
信息安全风险管理的本质对象是“业务”。
“业务”是一个组织的正常运转的核心活动。
“业务”利用信息技术加以实现。
本质对象
业务
业务业务连续性。
业务
实体对象
数据
数据作为实体对象的一种,它通过载体以某种具体的形式来承载。
载体
载体是一种数据存储和传输的媒介,是数据赖以附载的物质基础。
环境和边界
数据及承载数据的
您可能关注的文档
最近下载
- DB14T 1736-2024 医疗护理员服务规范.docx VIP
- 《中华优秀传统文化》(卢志宁)089-2教案 第7课 中国器物文化.docx VIP
- 桥式起重机维护保养操作手册.docx VIP
- 混凝土工安全技术交底.docx VIP
- (完整word版)小学四年级的垂直与平行练习题.doc VIP
- 七年级上册道德与法治知识点精编.doc VIP
- 《中华优秀传统文化》教案 第5课 书 法.docx VIP
- XXX《可编程控制器应用实训》形考任务5(实训五)参考答案 .pdf VIP
- 新解读《GB_T 30429 - 2013工业热电偶》最新解读.docx VIP
- 能源科技有限公司100MW200MWh储能项目110KV升压站安全预评价报告.doc VIP
文档评论(0)