商业银行信息科技风险评估研究与实施

银行业数据大集中导致风险大集中,一旦发生信息安全事件,可能导致银行一夜关门。通过开展信息科技风险评估工作,提前发现和消除风险隐患显得尤为重要。简要总结ISO 27001、ISO 15408、ISO 13335、NIST风险管理框架、GB/T 20984这5个国内外风险评估标准,介绍了基线风险评估、重要系统风险评估、流程风险评估、资产风险评估的评估方法和管理类、技术类、辅助类风险评估工具,希望能推动银行业风险评估工作。     

风险评估方法在企业信息安全管理中的应用探讨

本文以企业信息安全管理为背景,利用风险评估理论,将企业信息管理的风险评估方法进行了探讨,将风险因素进行量化。最后给出了以风险评估数值为基础的企业信息系统的评估等级。     

信息安全风险评估要素量化方法

信息安全风险评估是保障信息系统安全的重要手段之一,也是信息系统安全体系建设的前提和基础。文中在分析信息安全风险评估要素和评估过程的基础上,结合实际经验针对定量风险评估讨论了定量风险评估要素的量化规则、量化方法和风险计算方法,该方法在定量风险评估过程中具有科学性、合理性和实用性特点。     

基于IRA-CMM模型的风险评估管理及改进

信息安全风险评估规范以及相关指南指导了风险评估工作,但在评估过程管理和评估能力改进方面还缺乏系统的理论支持.回顾了目前的信息安全风险评估现状,分析了其中存在的问题;基于信息系统生命周期和系统安全工程相关模型,提出了三维的风险评估能力成熟度模型(IRA-CMM);将该模型应用于风险评估过程管理和评估能力改进.     

定量分析法在网络风险评估中的应用

介绍了网络风险评估的内容,分析了网络风险评估的过程,重点论述了定量分析法在网络风险评估中的应用。     

试论信息安全风险评估的综合评估方法

现如今,我国社会现已进入全球信息化时代,各类企业发展的过程中会成立信息系统,借此存储信息、整合信息,但目前信息安全受到了一定威胁,进而会损失企业经济效益,资产信息的安全性、完整性得不到保障。从中能够看出,应用综合评估方法处理上述问题,这不仅能够对传统评估方法存在的不足全面弥补,而且还能全面保护信息安全,促进企业有序运行。文章首先对风险评估法具体介绍,然后分析了信息安全风险评估的重要性,接下来对比不同的评估方法,最后探究综合评估方法。     

涉密信息系统中风险评估开展过程的研究

信息安全风险评估是一种保障信息系统正常运行的有效方式,文章阐述了军工企业涉密网络信息安全的特点,分析了军工涉密信息系统中开展风险评估的几个过程,包括：风险评估准备、风险评估调研、风险分析、风险处置。     

电子电气产品有害化学物质风险管控与标准化

分析了电子电气产品制造业在有害化学物质管控方面所采取的管理措施和技术措施,阐述了企业在产品实现过程中对有害化学物质的风险评估方法,并介绍了有害化学物质管控标准制定等标准化工作重点.     

风险评估与安全需求的关系

系统安全构建过程 信息安全可通过风险评估和风险管理来实现。风险评估是确定系统中各种资产,核实资产存在的安全风险,并确定其规模大小的过程;而风险管理是综合考虑各方面的因素形成系统的安全需求,根据安全需求选择安全控制来降低风险,并通过评估确定安全控制的有效性的过程。风险评估的对象可针对一个复杂的IT系统,也可以针对系统中一个部分。图1显示了包括风险评估和风险管理在内的系统安全实现过程。     

信息系统安全风险的概念模型和评估模型

本文阐述了信息系统安全风险的概念模型和评估模型,旨在为风险评估工作提供理论指导,使风险评估的过程和结果具有逻辑性和系统性,从而提高风险评估的质量和效果。     

融合等级保护思想的综合风险评估方法的应用研究

本文首先介绍了几种风险评估方法并进行比较，阐述了风险评估过程，然后运用融合等级保护思想的综合风险评估方法对莱单位的信息系统进行评估分析。     

一种信息安全风险评估可视化模型

随着信息安全风险因素和控制措施之间关联性的不断增长,传统的风险分析方式显现出了一定的弊端。面对这些变化,日渐成熟的可视化技术为风险分析提供了一个新的思路。提出一种信息安全风险评估可视化模型,实现对风险评估中过程数据和结果数据的可视化,并且提供多种风险评估算法,在帮助研究人员处理大量数据的同时,提高风险评估的客观性和有效性,为信息安全风险评估可视化的研究提供了一个新方向。     

信息安全风险评估综述

信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。本文分析了信息安全风险评估所涉及的主要内容,包括国内外现状、评估体系模型、评估标准、评估方法、评估过程等,探讨了国内外测评体系,指出了目前信息安全风险评估需要解决的问题,展望了信息安全风险评估的发展前景。     

基于灰色聚类的发控系统风险评估

针对发控系统风险定级的不足,提出了基于灰色聚类的发控系统风险评估方法;首先,构建了发控系统风险评估指标体系;其次,介绍了灰色聚类概念及模型;最后,以某型号发控系统为例,结合实测数据并进行归一化处理,构建各指标统一白化权函数,通过综合聚类分析给出发控系统风险评估结果。经实例应用验证,该方案为发控系统风险评估提供了一种简单实用的方法。     

增强风险评估的竞争力

捍卫信息安全是一场看不见硝烟的战争，而信息安全风险评估是这场战争的基础性工作。目前，我国在这方面还相对落后，各级政府与企业应当科学地做好风险评估     

信息安全风险评估的策划

提出了组织在进行信息安全风险评估时，在策划阶段应关注的一些问题，以保证整个风险评估过程的有效性。     

国家信息安全风险评估标准编制和试点工作进展

概述了我国信息安全风险评估工作的开展状况，介绍了《信息安全风险评估指南》和《信息安全风险管理指南》的编制过程和主要内容，并对风险评估试点工作的进展情况进行了阐述。     

信息安全风险评估方法研究

信息安全风险评估是建立信息安全保障体系过程中重要的评价方法和决策机制,是信息安全研究的重要组成部分。文章阐述了国内外信息安全风险评估的发展状况,对信息安全风险评估方法进行了分类和总结,通过对典型评估方法的讨论,深入分析了各种分析方法在评估过程中的优劣侧重和综合应用性。最后,就中国信息安全的发展状况,提出了在信息安全评估工作中急需解决的若干问题。     

脆弱性检测工具研究

在进行风险评估过程中,脆弱性检测由于其检测过程客观、方法多样,已经成为风险评估中必不可少的一个环节.但由于脆弱性检测工具存在各种误报和漏报,大大影响了检测结果的准确性,并进而影响风险评估的有效性.通过对脆弱性检测工具的测试和深入研究,比较了多款典型脆弱性检测工具之间对不同目标系统的检测结果,分析得出了典型脆弱性检测工具之间检测结果的趋势和特点.     

信息安全风险评估模型的定性与定量对比研究

对信息安全风险评估的通用计算模型和定性计算模型进行了深入的分析和研究,提出了一种定量的信息安全风险评估模型.该方法使信息安全风险评估过程中风险值的计算更加科学和准确,解决了以往定性分析方法数据计算粗略、不准确和难于区分风险的重要程度等问题.