风险评估与安全需求的关系

系统安全构建过程 信息安全可通过风险评估和风险管理来实现。风险评估是确定系统中各种资产,核实资产存在的安全风险,并确定其规模大小的过程;而风险管理是综合考虑各方面的因素形成系统的安全需求,根据安全需求选择安全控制来降低风险,并通过评估确定安全控制的有效性的过程。风险评估的对象可针对一个复杂的IT系统,也可以针对系统中一个部分。图1显示了包括风险评估和风险管理在内的系统安全实现过程。     

国家信息安全风险评估标准编制和试点工作进展

概述了我国信息安全风险评估工作的开展状况，介绍了《信息安全风险评估指南》和《信息安全风险管理指南》的编制过程和主要内容，并对风险评估试点工作的进展情况进行了阐述。     

国信办赵泽良处长提出:应加强对信息安全风险评估的规范和引导

信息安全风险评估是信息安全保障工作的一个重要方法,本文阐述了合理分析信息安全风险,科学决策风险、补偿风险和控制风险的重要意义。     

涉密信息安全的风险分析研究

涉密信息安全的风险分析研究将风险管理和系统安全分析理论应用于涉密信息的保密安全管理中.提出了利用风险分析理论和方法的必要性和可行性;探讨了涉密信息安全的风险分析具体内容、基本程序和应用方法;基于风险矩阵和风险分级方法,探讨了涉密信息安全的风险量化方法和等级划分方法.将风险管理理论应用于保密风险识别与分析和保密全寿命周期的风险控制,将对预测、预防、控制泄密事件的发生,增强保密管理的针对性具有重要的指导意义.     

商业银行信息科技风险评估研究与实施

银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。     

基于网络管理的信息安全体系建设初探

信息安全风险管理是目前信息安全领域专家研究的热点之一,本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型,然后介绍基于风险管理的信息安全体系建设模型;最后给出了基于风险管理的信息安全体系的建设思路。     

信息安全风险评估模型的定性与定量对比研究

对信息安全风险评估的通用计算模型和定性计算模型进行了深入的分析和研究,提出了一种定量的信息安全风险评估模型.该方法使信息安全风险评估过程中风险值的计算更加科学和准确,解决了以往定性分析方法数据计算粗略、不准确和难于区分风险的重要程度等问题.     

基于代数方法的信息安全风险评估管理模型

利用软件工程技术统一定义信息安全风险评估管理的要素和操作,在此基础上对信息安全风险评估管理的要素和关系进行统一描述和建模,提出一种基于代数方法的定量风险评估管理模型,该模型具有自动逻辑推理和自动搜索最佳安全策略控制措施来控制、降低和规避风险的特点,这种方法能够实现信息安全风险评估管理的自动化和安全策略的最优化.     

基于风险管理的信息安全体系建设初探

信息安全风险管理是目前信息安全领域专家研究的热点之一.本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型;然后介绍基于风险管理的信息安全体系建设模型;最后给出厂基于风险管理的信息安全体系的建设思路.     

信息安全管理体系(ISMS)及其构架(二)

3.进行信息安全风险评估:信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应与组织对信息资产风险的保护需求相一致。在组织进行信息安全风险评估时,具体有三种风险评估方法可供选择。 基本风险评估:仅参照标准所列举的风险对组织资产进行风险评估的方法。基本风险评估所需要的人     

信息安全风险评估的模糊多准则决策方法

基于ISO/IEC17799标准建立了一个综合的信息系统风险分析框架,并运用模糊多准则决策(FMCDM)方法计算信息安全风险,根据风险等级矩阵(RLM)对信息资产风险进行级别划分,最终建立评估信息资产相关风险的完整模型。     

基于风险矩阵的电力公司信息安全风险评估

随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性.基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估.建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型.运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性.研究结果对电力公司加强信息安全风险管理有一定的参考价值.     

面向移动互联网的嵌入式业务安全管控体系

本文结合运营商移动互联网业务管理经验,提出了一套基于风险识别的嵌入式业务安全管理体系。覆盖业务运营全周期实现嵌入式业务风险管控,全面落实网络与信息安全“三同步”工作要求。本文所述管理体系实现了业务层面和底层程序的双重信息安全审计,确保了评估风险的全面性和准确性。引入自动合规核查机制结合人工渗透测试方式,提高了风险排查的效率和精准性。建立风险的共享机制大幅降低业务安全风险重复出现的概率。     

联邦信息系统和组织风险管理分析与研究

美国国家标准和技术研究院信息技术实验室为保护联邦信息系统的安全和隐私,开发了管理、技术、物理相关标准和指南。特别是在风险管理方面的研究,发布了特殊出版物800系列的研究报告,从项目建设规划、风险管理、安全意识培训等多方面形成一整套信息系统风险管理体系,成为美国和国际安全界广泛认可的实施标准和权威指南。风险评估是风险管理过程的核心内容,我国的风险评估研究尚处起步阶段,相关标准体系仍不完善。研究美国联邦信息系统和组织的风险管理体系,对美国联邦信息系统风险管理的原理和实施步骤进行了较为详细的阐释,这对促进我国风险管理标准体系的建立和风险评估业务的开展均具有重要意义。     

信息安全风险评估系统的设计

作为信息系统安全的重要保障手段,开展信息安全风险评估服务已成为当务之急;通过安全风险评估,能够正确引导组织在网络安全、应用安全、安全管理等软硬件产品以及安全咨询、系统集成、安全服务外包、安全培训等方面的投资,从而带动信息安全产品及信息安全服务业的发展,促进信息安全产业的健康发展。文中旨在提供一种能够实现自动化风险评估系统的设计思想,为组织开展风险评估活动提供规范化的操作,降低因风险评估而引入的风险。     

电力企业信息网络安全风险分析与管控措施研究

目前,在我国社会用电负荷快速增长、信息网络技术快速发展的形势下,电力企业更加重视信息网络技术在电力企业的应用情况和信息网络安全情况。因此,文章基于电力企业信息网络安全的目标,分析目前电力企业信息网络安全风险,并针对这些安全风险提出相应的风险管控措施,以供参考。     

层次化的信息系统风险评估方法研究

由于当前主流的信息安全风险评估方法仅关注系统组件的风险,很少立足于业务风险视角,难以满足业务人员、组织管理者等不同层面人员对信息安全风险的理解。文中提出了一种层次化风险评估方法来量化风险,该方法将信息系统安全风险分为组件级、系统级和组织级3个层面,分别关注系统单一组件的风险、单个信息系统风险和多个信息系统构成的组织总体风险。通过对3个层次风险的逐层分析,使得风险分析结果更为全面和客观地反映安全风险评估的层次化需求。     

涉密信息系统中风险评估开展过程的研究

信息安全风险评估是一种保障信息系统正常运行的有效方式,文章阐述了军工企业涉密网络信息安全的特点,分析了军工涉密信息系统中开展风险评估的几个过程,包括：风险评估准备、风险评估调研、风险分析、风险处置。     

国内企业网络信息安全风险分析

计算机网络高速发展的同时,给信息安全带来了新的挑战。企业网络信息安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。从网络结构安全风险、操作系统安全风险、应用安全风险及管理安全风险等方面,对国内企业面临的信息安全风险进行了系统、全面的分析,建议企业针对所面临的信息网络安全问题,开发相应的应用系统,设计系统的安全防护方案,制订切实可行的防范措施、系统灾难恢复措施和信息安全应急预案。