共查询到19条相似文献,搜索用时 203 毫秒
1.
赵力 《信息安全与通信保密》2004,(11):27-29
系统安全构建过程 信息安全可通过风险评估和风险管理来实现。风险评估是确定系统中各种资产,核实资产存在的安全风险,并确定其规模大小的过程;而风险管理是综合考虑各方面的因素形成系统的安全需求,根据安全需求选择安全控制来降低风险,并通过评估确定安全控制的有效性的过程。风险评估的对象可针对一个复杂的IT系统,也可以针对系统中一个部分。图1显示了包括风险评估和风险管理在内的系统安全实现过程。 相似文献
2.
国家信息安全风险评估标准编制和试点工作进展 总被引:4,自引:0,他引:4
范红 《信息技术与标准化》2005,(7):12-16
概述了我国信息安全风险评估工作的开展状况,介绍了《信息安全风险评估指南》和《信息安全风险管理指南》的编制过程和主要内容,并对风险评估试点工作的进展情况进行了阐述。 相似文献
3.
4.
5.
银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。 相似文献
6.
信息安全风险管理是目前信息安全领域专家研究的热点之一,本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型,然后介绍基于风险管理的信息安全体系建设模型;最后给出了基于风险管理的信息安全体系的建设思路。 相似文献
7.
信息安全风险评估模型的定性与定量对比研究 总被引:5,自引:0,他引:5
孙强 《微电子学与计算机》2010,27(6)
对信息安全风险评估的通用计算模型和定性计算模型进行了深入的分析和研究,提出了一种定量的信息安全风险评估模型.该方法使信息安全风险评估过程中风险值的计算更加科学和准确,解决了以往定性分析方法数据计算粗略、不准确和难于区分风险的重要程度等问题. 相似文献
8.
基于代数方法的信息安全风险评估管理模型 总被引:3,自引:2,他引:1
利用软件工程技术统一定义信息安全风险评估管理的要素和操作,在此基础上对信息安全风险评估管理的要素和关系进行统一描述和建模,提出一种基于代数方法的定量风险评估管理模型,该模型具有自动逻辑推理和自动搜索最佳安全策略控制措施来控制、降低和规避风险的特点,这种方法能够实现信息安全风险评估管理的自动化和安全策略的最优化. 相似文献
9.
信息安全风险管理是目前信息安全领域专家研究的热点之一.本文以电视台信息安全项目为背景,首先阐述信息安全风险的基本概念和组成要素,以及信息安全风险管理的常见模型;然后介绍基于风险管理的信息安全体系建设模型;最后给出厂基于风险管理的信息安全体系的建设思路. 相似文献
10.
井光山 《信息安全与通信保密》2001,(7)
3.进行信息安全风险评估:信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应与组织对信息资产风险的保护需求相一致。在组织进行信息安全风险评估时,具体有三种风险评估方法可供选择。 基本风险评估:仅参照标准所列举的风险对组织资产进行风险评估的方法。基本风险评估所需要的人 相似文献
11.
基于ISO/IEC17799标准建立了一个综合的信息系统风险分析框架,并运用模糊多准则决策(FMCDM)方法计算信息安全风险,根据风险等级矩阵(RLM)对信息资产风险进行级别划分,最终建立评估信息资产相关风险的完整模型。 相似文献
12.
13.
张鸷 《电信工程技术与标准化》2016,(12):42-46
本文结合运营商移动互联网业务管理经验,提出了一套基于风险识别的嵌入式业务安全管理体系。覆盖业务运营全周期实现嵌入式业务风险管控,全面落实网络与信息安全“三同步”工作要求。本文所述管理体系实现了业务层面和底层程序的双重信息安全审计,确保了评估风险的全面性和准确性。引入自动合规核查机制结合人工渗透测试方式,提高了风险排查的效率和精准性。建立风险的共享机制大幅降低业务安全风险重复出现的概率。 相似文献
14.
美国国家标准和技术研究院信息技术实验室为保护联邦信息系统的安全和隐私,开发了管理、技术、物理相关标准和指南。特别是在风险管理方面的研究,发布了特殊出版物800系列的研究报告,从项目建设规划、风险管理、安全意识培训等多方面形成一整套信息系统风险管理体系,成为美国和国际安全界广泛认可的实施标准和权威指南。风险评估是风险管理过程的核心内容,我国的风险评估研究尚处起步阶段,相关标准体系仍不完善。研究美国联邦信息系统和组织的风险管理体系,对美国联邦信息系统风险管理的原理和实施步骤进行了较为详细的阐释,这对促进我国风险管理标准体系的建立和风险评估业务的开展均具有重要意义。 相似文献
15.
16.
目前,在我国社会用电负荷快速增长、信息网络技术快速发展的形势下,电力企业更加重视信息网络技术在电力企业的应用情况和信息网络安全情况。因此,文章基于电力企业信息网络安全的目标,分析目前电力企业信息网络安全风险,并针对这些安全风险提出相应的风险管控措施,以供参考。 相似文献
17.
层次化的信息系统风险评估方法研究 总被引:2,自引:0,他引:2
由于当前主流的信息安全风险评估方法仅关注系统组件的风险,很少立足于业务风险视角,难以满足业务人员、组织管理者等不同层面人员对信息安全风险的理解。文中提出了一种层次化风险评估方法来量化风险,该方法将信息系统安全风险分为组件级、系统级和组织级3个层面,分别关注系统单一组件的风险、单个信息系统风险和多个信息系统构成的组织总体风险。通过对3个层次风险的逐层分析,使得风险分析结果更为全面和客观地反映安全风险评估的层次化需求。 相似文献
18.
涉密信息系统中风险评估开展过程的研究 总被引:1,自引:1,他引:0
王杰 《信息安全与通信保密》2009,(8):103-106
信息安全风险评估是一种保障信息系统正常运行的有效方式,文章阐述了军工企业涉密网络信息安全的特点,分析了军工涉密信息系统中开展风险评估的几个过程,包括:风险评估准备、风险评估调研、风险分析、风险处置。 相似文献
19.
计算机网络高速发展的同时,给信息安全带来了新的挑战。企业网络信息安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。从网络结构安全风险、操作系统安全风险、应用安全风险及管理安全风险等方面,对国内企业面临的信息安全风险进行了系统、全面的分析,建议企业针对所面临的信息网络安全问题,开发相应的应用系统,设计系统的安全防护方案,制订切实可行的防范措施、系统灾难恢复措施和信息安全应急预案。 相似文献