信息技术安全--风险管理相关笔记_技术安全与风险管理

风险管理关系图

风险评估

1.风险评估指风险分析和风险评价的整个过程
2.通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级从而对其试试有效控制，将风险控制在可接受的范围内

风险分析

1.系统的使用信息来识别风险来源和估计风险
2.目的:将风险分离为可接受的小风险和不可接受的大风险，为风险处置提供数据
3.方法：
（1）定性分析：采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
（2）定量分析：运用数据数值（不同于叙述性数值）；集中在现场调查阶段；针对系统关键资产进行定量调查、分析

风险评价

将估计的风险与给定的风险准则进行比较以确定风险严重性的过程

风险处置

1.选择并执行措施来更改风险的过程
2.包括对风险评估过程中建议的安全控制进行优先排序、评估和实现
3.过程：
（1）风险接受：接受潜在风险并继续运行信息系统
（2）风险降低：把风险降到一个可接受的级别
（3）风险规避：放弃系统或关闭系统
（4）风险转移：买保险

资产

1.要素：重要数据信息、硬件资产、软件资产、重要区域、关键岗位
2.资产识别：
（1）保密性C：根据损害程度分为5级
（2）完整性I：根据影响程度分为5级
（3）可用性A：根据正常工作时间和允许中断时间分为5级

风险值计算

风险表

风险处置表