信息安全风险管理(一)

我们讨论信息安全，关注信息安全存在的问题及面临的威胁，那么到底什么是信息?什么是信息安全呢?ISO／IEC的IT安全管理指南(GMITS，即ISO／IEC TR 13335)对信息(Information)的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。一般意义上．信息是指事物运动的状态和方式．是事物的一种属性，     

基于生存力的信息安全风险管理

本文提出了一种新的信息安全风险管理方法，对信息安全风险的成因和可能带来的影响进行分析与评估，在此基础上构建全面的安全控制策略并实施，建立信息安全风险防范体系。     

风险管理不只是信息安全

风险管理只遵循固定的信息安全标准与准则,是无法在任何环境中都应对自如的。金融和IT业间的分离是由于对风险的不同理解造成的。IT业倾向于从安全系统这个角度来考虑风险—控制管理系统以及遵从报表和最佳的程序。     

我国数字图书馆信息安全管理现状及风险管理

介绍数字图书馆及数字图书馆信息安全的相关概念,总结了数字图书馆自身的特点。从调研中总结了数字图书馆信息安全管理的现状及风险管理。     

信息安全风险管理(三)风险评估(上)

风险评估是对信息资产面临的威胁．存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。     

信言息安全风险管理的动态与趋势

如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险，自然成为各方面都十分关注的问题，本文对国内外信息安全风险管理的动态和趋势作一简要勾勒，供大家参考。     

电力CSO必须熟悉风险管理

有人说:“CIO有可能下岗,但CSO不会。”其根据是,首席安全官(CSO)掌握着单位越来越多的核心机密,CSO的地位将越发独特,不可替代,并预言中国的CSO正在走向“权力”的中央。CSO真的不会下岗吗?中国有多少企业有真正的CSO呢?困扰CSO真正“落地”的问题是什么呢?有专家认为,用有限的权利承担无限的责任,是CSO面临的最大的问题。无论国外的专职CSO还是国内一些企业的“准CSO”,他们在企业中大多向CEO或者CIO负责。很多时候,他们的出身是技术背景,对于企业内部所有业务系统和流程、人际关系和规范不是完全了解,这样就导致CSO们工作会“力不从心”。另一方面,CSO肩负着沉重的责任。因为,网络信息系统不出事则已,一旦出事必定是大事,有可能使单位的关键业务中断,造成巨大的经济损失,也可能使单位蒙受巨大的名誉损失。CSO承担得起这样重大的责任吗?CSO到底是个什么样的职位?这个职位需要什么样的能力?只有将CSO的责、权、利分清,CSO在企业的定位才不至于是个模糊的概念。本期CSO沙龙,将从CSO的能力建设方面,谈谈CSO应具有的三个基本素质。     

电力系统信息安全风险管理体系的研究与应用

提出一种基于风险管理的信息安全管理体系,然后以中山供电局为实例,介绍电力系统信息安全风险管理体系的建立和推广过程、体系运转时遇到的问题与采用的方法,体系的审核方法等。重点介绍体系中的管理方法工具的运用,例如风险评估所采用的资产风险值CIA评估方法、体系落地时采用的"两单",体系运转的"四大机制"等,并在实际应用中通过检验,具有较高的指导和参考价值。     

电力系统信息安全风险管理体系的研究与应用

提出一种基于风险管理的信息安全管理体系,然后以中山供电局为实例,介绍电力系统信息安全风险管理体系的建立和推广过程、体系运转时遇到的问题与采用的方法,体系的审核方法等。重点介绍体系中的管理方法工具的运用,例如风险评估所采用的资产风险值CIA评估方法、体系落地时采用的“两单”。体系运转的“四大机制”等,并在实际应用中通过检验．具有较高的指导和参考价值。     

信息安全风险管理绩效研究

分析了当前风险管理的现状和所面临的问题,并通过风险确认,提出了一个风险管理效率判别模型,以对风险管理方案进行判别,找出最佳的风险管理方案.通过分析进一步指出了基于信息资产提供业务的风险管理投资和安全事件损失的联系,并对其有效性进行了验证.实验结果表明,此方法是行之有效的.     

信息安全风险管理(二)

风险管理的首要任务是明确信息安全目标(Objective)，即信息安全管理所要实现的目标。安全目标决定了组织能够接受的风险水平和所应满足的安全程度，这是信息安全管理得以成功的关键。为了确定安全目标，组织应该充分考虑对其商务功能起着支持作用的信息资产的重要性和价值，在此过程中，组织应该考虑到以下问题：     

信息安全测评项目中的风险管理与风险规避

随着等级保护工作的不断深入,各单位对信息安全也越来越重视,导致了现阶段信息安全测评项目的大量增加。文章运用项目管理的思想和方法,以风险管理的理论加强信息安全测评项目的风险管理,完成了在测评中的风险规避,对于提高项目实施的成功率和测评结果的准确率发挥了重要作用。     

信息安全风险管理：内容与方法

随着我国信息化建设全面的推进，信息化建设的重点已开始从单纯的信息基础设施的建设规摸扩张，转向深层次开发应用及利用。近年来，上海信息化建设已取得了巨大的成果，在政府上网、金融、交通、社会服务信息化。构建电子商务平台等方面做了卓有成效的工作，部分领域内的业务已主要依靠计算机系统实施，如税务、工商、统计、社会保障、医疗保障等。     

决策理论在信息安全风险管理中的应用

信息安全是近年兴起的一个新兴的领域，对于一个组织来说，信息安全需要的是保障企业信息的机密性、完整性和可用性三项安全属性，控制由于信息安全属性被破坏对企业产生的风险。如何选择适当的措施实现风险控制目标，是组织实现风险管理面临的首要问题。从管理学的角度来看，上述的问题可以看作是决策的问题，本文将根据决策理论，根据信息安全风险管理的特点提出解决上述问题的一种思路。     

RSA新推信息风险管理解决方案

RSA,EMC信息安全事业部近日宣布在华推出信息风险管理(Information Risk Management)解决方案,为中国金融业提出了"以信息为核心"的安全新思维。RSA的信息风险管理解决方案全面整合了RSA和EMC业界领先的安全技术、"信     

软件质量评估与信息安全风险管理的融合策略

随着社会经济的不断发展,软件工程行业逐渐开始重视软件的质量管理与控制工作,不断地引入新技术、新理念,以实现企业内部管理与经营方式的转变。但在实践中,与发达国家相比,仍存有一定的差距。因此,要想提升软件质量评估与信息安全风险管理的效果,需要有一定的人力、物力和财力,并深入研究软件质量评估与信息安全风险治理的融合策略,确定质量管理的重点和难点,从而从根本上改善软件质量评估和信息安全风险管理中存在的问题,为人们提供更为优质、安全和稳定的软件服务。     

信息安全与风险管理

信息技术在人们生活中的应用越来越广泛．伴随而来的信息安全问题也日益严重。随着科技的发展和商业竞争日益激烈．许多公司越来越认识到系统安全的重要性,雇请专业的系统安全分析员来订立规则．保护公司商业机密和客户资料。最近的一份报告预计．到2004年,电脑罪案将激增100倍．不能有效保护数据和系统的企业将遭受重大损失。掌握     

信息安全风险管理在企业访问控制管理中的应用研究

访问控制安全是信息安全管理的重要领域。文章从集装箱运输公司的信息系统业务实际出发,提出了使用业界信息安全风险评估的最佳实践进行风险管理的方法。通过改进风险评估方法,简化资产估值,强化影响性分析,从网络、系统和应用层面来识别风险。最后通过信息安全管理体系的方法论,从管理策略和技术手段这两方面出发,最终实现网络、系统和应用的全面访问控制。     

利用风险评估完善信息安全风险管理体系

众所周知，风险管理泛指评估风险、确认风险、回应风险的过程。随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。     

操作风险管理视角下的商业银行信息科技风险管理研究

现代商业银行对信息科技的高度依赖,使信息科技风险越来越成为银行风险管理的重要内容.本文利用操作风险管理的框架和工具,对信息科技风险的识别、计量、监测和控制等进行研究.本文认为在信息安全管理的基础上,利用操作风险管理的方法,有助于从全面风险管理的角度对信息科技风险进行有效管理.