信息化建设中的信息安全风险评估

风险评估是发现薄弱环节的基本方法,不仅需在系统建设之前进行,更要贯彻在信息系统从设计到运行乃至到报废的整个生命周期之中。信息安全风险评估是建立信息安全体系的基础,是信息系统安全工程的一个关键组成部分。分析了国内外信息安全风险评估的现状,包括相关的评估标准体系、评估方法和评估过程,针对中国信息安全发展现状,探讨了目前信息安全风险评估工作中急需解决的问题。     

信息系统安全风险评估综述

信息系统的安全风险评估是建立信息系统安全体系的基础和前提。对国内外现有的信息安全风险评估标准、方法与工具进行归纳总结,指出了目前信息安全风险评估需要解决的问题,并对未来信息系统安全风险评估的发展前景进行了分析。     

信息安全风险评估要素量化方法

信息安全风险评估是保障信息系统安全的重要手段之一,也是信息系统安全体系建设的前提和基础。文中在分析信息安全风险评估要素和评估过程的基础上,结合实际经验针对定量风险评估讨论了定量风险评估要素的量化规则、量化方法和风险计算方法,该方法在定量风险评估过程中具有科学性、合理性和实用性特点。     

信息安全风险评估中的关键技术

文章在深入研究信息安全风险评估理论的基础上,结合国内外风险评估的实例,从实践的角度提出了风险评估中所涉及的关键技术。同时,文中还重点阐述了关键技术的实现方法,形成了一套完整的评估流程,为建立信息安全风险评估体系打下了良好的基础。     

军事信息系统信息安全风险评估方法研究

信息安全风险评估是构建信息安全保障体系的重要手段,文章在分析当前信息安全风险评估方法的基础上,针对军事信息系统的特点,提出了适用于军事信息系统的信息安全风险评估方法,该方法能够较好地对军事信息系统进行信息安全风险评估。     

基于IRA-CMM模型的风险评估管理及改进

信息安全风险评估规范以及相关指南指导了风险评估工作,但在评估过程管理和评估能力改进方面还缺乏系统的理论支持.回顾了目前的信息安全风险评估现状,分析了其中存在的问题;基于信息系统生命周期和系统安全工程相关模型,提出了三维的风险评估能力成熟度模型(IRA-CMM);将该模型应用于风险评估过程管理和评估能力改进.     

信息安全风险评估方法研究

信息安全风险评估是建立信息安全保障体系过程中重要的评价方法和决策机制,是信息安全研究的重要组成部分。文章阐述了国内外信息安全风险评估的发展状况,对信息安全风险评估方法进行了分类和总结,通过对典型评估方法的讨论,深入分析了各种分析方法在评估过程中的优劣侧重和综合应用性。最后,就中国信息安全的发展状况,提出了在信息安全评估工作中急需解决的若干问题。     

涉密信息系统中风险评估开展过程的研究

信息安全风险评估是一种保障信息系统正常运行的有效方式,文章阐述了军工企业涉密网络信息安全的特点,分析了军工涉密信息系统中开展风险评估的几个过程,包括：风险评估准备、风险评估调研、风险分析、风险处置。     

涉密信息系统风险评估与安全测评实施

风险评估与安全测评是两种不同的安全评估活动,在信息安全建设中占有重要地位。论文通过介绍风险评估与安全测评的基本概念及相互关系,针对涉密信息系统的特殊性要求,深入探讨了涉密信息系统风险评估与安全测评的具体可操作的实施方法。     

电子政务系统的信息安全风险评估方法

从我国信息化建设的现状出发，首先分析了信息安全风险评估有关因素，然后从风险评估的一般性流程入手，分析了电子政务信息系统安全评估工作的内容，并对电子政务信息系统安全评估的具体措施提出了一种建设性思路。     

信息系统风险评估实践

风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据;也是按照PDCA改进组织安全保密体系的关键。论文在分析常见信息系统风险评估方法的基础上,提出基于应用系统、关注纵深防御和持续改进的风险评估方法,从而全面、系统地开展风险评估工作。     

军工行业信息系统安全风险分析与评估

安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全保障体系的基础和前提。文中对军工行业信息系统安全风险评估的主要内容、关键环节和评估准则进行了阐述,并结合实际风险评估工作给出了风险评估的基本方法和经验性策略,最后对军工行业信息系统的典型安全威胁和系统脆弱性进行了分析和归纳。     

面向移动互联网的嵌入式业务安全管控体系

本文结合运营商移动互联网业务管理经验,提出了一套基于风险识别的嵌入式业务安全管理体系。覆盖业务运营全周期实现嵌入式业务风险管控,全面落实网络与信息安全“三同步”工作要求。本文所述管理体系实现了业务层面和底层程序的双重信息安全审计,确保了评估风险的全面性和准确性。引入自动合规核查机制结合人工渗透测试方式,提高了风险排查的效率和精准性。建立风险的共享机制大幅降低业务安全风险重复出现的概率。     

联邦信息系统和组织风险管理分析与研究

美国国家标准和技术研究院信息技术实验室为保护联邦信息系统的安全和隐私,开发了管理、技术、物理相关标准和指南。特别是在风险管理方面的研究,发布了特殊出版物800系列的研究报告,从项目建设规划、风险管理、安全意识培训等多方面形成一整套信息系统风险管理体系,成为美国和国际安全界广泛认可的实施标准和权威指南。风险评估是风险管理过程的核心内容,我国的风险评估研究尚处起步阶段,相关标准体系仍不完善。研究美国联邦信息系统和组织的风险管理体系,对美国联邦信息系统风险管理的原理和实施步骤进行了较为详细的阐释,这对促进我国风险管理标准体系的建立和风险评估业务的开展均具有重要意义。     

信息安全风险评估策略研究

风险评估是当前企事业单位信息化工作的迫切需要和客观的需求,在此结合当前风险评估发展的现状,通过构造风险评估模型,提出了一种以定量方式为主的结构化的风险评估分析方法。该方法通过分析信息资产价值、威胁值、弱点值,合理地计算出风险值后构造出一种结构化的风险评估体系,提高了信息系统的安全防护能力。     

层次化的信息系统风险评估方法研究

由于当前主流的信息安全风险评估方法仅关注系统组件的风险,很少立足于业务风险视角,难以满足业务人员、组织管理者等不同层面人员对信息安全风险的理解。文中提出了一种层次化风险评估方法来量化风险,该方法将信息系统安全风险分为组件级、系统级和组织级3个层面,分别关注系统单一组件的风险、单个信息系统风险和多个信息系统构成的组织总体风险。通过对3个层次风险的逐层分析,使得风险分析结果更为全面和客观地反映安全风险评估的层次化需求。