信息安全管理体系(ISMS)及其构架(二)

3.进行信息安全风险评估:信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应与组织对信息资产风险的保护需求相一致。在组织进行信息安全风险评估时,具体有三种风险评估方法可供选择。 基本风险评估:仅参照标准所列举的风险对组织资产进行风险评估的方法。基本风险评估所需要的人     

基于危险理论的电子政务系统信息安全风险评估

为了电子政务系统安全信息评估精度,依据资产、脆弱性、威胁等风险评估基本要素,提出一种基于危险理论的电子政务系统信息安全风险评估方法.该方法以威胁为核心,通过威胁分析、梯形模糊数、层次分析法,结合多属性决策理论得到威胁发生的概率、后果属性以及属性值,得到电子政务系统信息安全威胁指数,最后利用威胁指数对风险进行排序,得到系统信息安全的风险等级.仿真结果表明,该方法能够很好地量化电子政务系统信息安全风险指标,有效地提高了风险评估准确性,是一种有效的电子政务系统信息安全评估方法.     

基于军用互联网的信息安全风险评估标准探索

针对军用互联网系统遭受日益增多的网络攻击问题,以军用互联网的安全目标（可用性、完整性、机密性）为原则,构建单个资产信息安全风险评估指标体系。首先结合系统脆弱性衡量单个资产安全风险,并利用加权平均法量化单个资产综合风险;然后引入信息熵衡量单个资产综合风险在信息系统的影响程度,计算军用互联网系统在物理环境、网络安全、主机系统、应用系统、数据安全等五个维度的风险值;最后采用AHP确定五个维度风险在军用互联网信息安全中的影响程度,实现军用互联网综合风险的衡量。通过搭建攻防仿真平台对多种攻击行为进行仿真,结果表明提出的方法有助于军用互联网信息安全风险评估标准的制定。     

广播电视光缆干线传输网传输安全风险评估方法研究

本文依据信息安全风险评估标准,针对广播电视光缆干线网资产识别、威胁识别、脆弱性识别、风险计算进行了研究,提出了广播电视光缆干线网传输安全风险评估方法,为对光缆干线网传输安全进行风险评估和自评估提供了参考。     

基于信息资产的风险评估方法的研究与实现

介绍了基于信息资产的信息安全风险评估方法,并设计了风险评估工具。通过使用该工具,可以完成对系统的资产、威胁、脆弱点等风险识别以及后续处置措施的跟踪,并能输出风险评估报表和统计风险发生趋势。该方法可以保证风险评估的全面性和完整性,能够有效发现、评估信息风险并加以处置。     

基于数据融合和HM Ms的风险评估方法

在信息安全领域,对信息系统进行风险评估十分重要,其最终目的是要指导决策者在"投资成本"和"安全级别"这两者之间找到平衡,从而为等级化资产风险制定保护策略和缓和计划。随着信息安全风险评估方法的不断发展,由于传统的风险评估方法对数据处理比较单一,对于系统总体风险评估较为薄弱.文中提出一种基于数据融合和隐马尔可夫模型的概率风险评估方法。使用数据融合技术,将多种安全工具提供的信息加以智能化分析、综合,产生比单一信息源更精确、完全和可靠的数据。基于数据融合模型的输出,使用隐马尔可夫模型进行风险评估,可以预测信息系统未来的安全状态,并通过用户的视角探索可能的安全状态,动态地量化企业信息系统资产,通过整合不同来源的信息,利用专家给出的概率信息确定动态变化资产未来的风险级别。     

信息安全风险评估常见的问题及对策 ——广州电信IDC信息安全管理体系持续改进咨询辅导经验谈

广州电信IDC在中知库专家的辅导下通过ISO27001信息安全管理体系认证后,2015年对信息安全管理体系进行持续优化.当广州电信信息安全工作小组完成今年的风险评估初稿时,中知库顾问小组发现工作小组的工作成果比起刚刚建立体系时效果差了很多.主要表现在两方面:第一,发现的风险点很少.主要原因是工作小组在建立体系时对每个资产的主要风险点已形成一个思维定式,今年进行的风险评估只是对往年风险的回顾及再评估,所以发现的新风险点寥寥无几.第二,工作小组进行风险评估时过于关注细节,没有从全局的角度观察整个IDC网络结构问题,造成部分重大风险未识别.     

捷普信息安全一体化集中管理系统(JSOC)

捷普信息安全一体化管理系统(JSOC)是一个面向全网IT资源的集中安全管理平台。它通过对网络中各类IT资源的安全域划分,以及海量异构网络与安全事件的采集、处理和分析,面向业务信息系统建立一套可度量的风险模型,使得各级管理员能够实现全网的资产运行监控、事件分析与审计、风险评估与度量、预警与响应、态势分析,并借助标准化的流程管理实现持续的安全运营。功能特点捷普信息安全一体化管理     

信息安全风险管理研究

在信息时代,信息安全风险管理的实施目标就是指导决策者平衡"安全成本"和"安全级别",将风险控制在可接受程度,保护信息及相关资产。信息安全风险管理的两个重要方面和研究热点是风险评估和风险控制,文中阐述了信息安全风险管理的概念和通用的国际标准,介绍了目前在风险评估和风险控制领域的主要方法和需要进一步研究的方向。     

信息安全风险评估模型的定性与定量对比研究

对信息安全风险评估的通用计算模型和定性计算模型进行了深入的分析和研究,提出了一种定量的信息安全风险评估模型.该方法使信息安全风险评估过程中风险值的计算更加科学和准确,解决了以往定性分析方法数据计算粗略、不准确和难于区分风险的重要程度等问题.