信息安全风险评估与风险管理（74页）.ppt-IT风险-保险资料库

信息安全风险评估与风险管理（74页）.ppt

信息安全风险评估与风险管理

目录
一、风险评估中的概念及模型
二、风险评估标准
三、风险评估流程与方法
四、风险评估的输出结果
五、风险管理
六、总结
信息安全的定义
机密性（integrity）：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问完整性（confidentiality）：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：当要求时，即可使用信息和相关资产。不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他：可控性、可审查性
Key words I
信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。
Key word II
威胁(Threat):
是指可能对资产或组织造成损害的事故的潜在原因。
薄弱点(Vulnerability):
是指资产或资产组中能被威胁利用的弱点。