信息安全管理評估

1.1.2信息安全1（通常稱是信息安全的三大安全屬性，除此之外，還有可控性、不可否認性等其他屬性。2、實現(xiàn)不可否認的技術手段一般。3、常地運行。4、信息安全的概念涵蓋、 、3個方面的安全。5、信息安全管理通過維護信息的保密性、完整性和可用性等來管理和保護資6、信息安全管理的目的：將政策、硬件及軟件等方法結合起來，構成一個統(tǒng)一的分層防衛(wèi)系統(tǒng)，阻擊非法用戶進入，以減少網(wǎng)絡系統(tǒng)受破壞的可能性。定非法入口位置的方法。使網(wǎng)絡管理者能夠很快地重新組織被破壞了的文件或者應用，使系統(tǒng)重新恢復到破壞前的狀態(tài)，以最大限度地減少損失并促使系統(tǒng)恢復。2.1.1信息安全管理標準BS77991、BS7799分為2部分、2、10 大管理要項及相應的執(zhí)行目標和控制措施為： 、 、 、 、 、 、 、。3、PDCA模型的主要過程： 、4、ISO/IEC13335：5、資產(chǎn)包括。6、CC(CommonCriteria，通用準則是目前國際最通行的信息技術產(chǎn)品與系統(tǒng)安全性評估準側也是信息技術安全性評估經(jīng)過國際互認的基礎它定義了一能滿足各種要求的IT準側，將評估過程分兩部分。2.21、GB/T19715.1-20052、GB/T19715.1-20053、CB/T19716-20054CB/T19716-2005使用準則》3.2信息安全管理的實施1、應避免風險評估僅限IT部門和安全專家的參與。2、風險評估應采相結合的風險評估方法。3、BS7799風險水平，而在于讓企業(yè)擁有可控的風險管理架構、方法和保障落實機制。4、安全策略作為指導信息安全活動企業(yè)中其他的各種規(guī)定制度等不應與其沖突。5、人員安全包括3個執(zhí)行目標。6、符合性包括三個執(zhí)行目標： 、 、 信息安全風險管理1、信息安全風險管理設計信息安全的。

3 大類保護對安全措（Security、 的總稱。2、業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)的依賴程度 ，資產(chǎn)，要求其風。3、在 AS/NZS 4360:1999 中 ， 風 險 管 理 、 、5個步驟和 、2個附加環(huán)節(jié)（參照P51圖4-2）4、風險識別的識別方法 、其中 、是最有效的風險識別方法。5、風險處置的方法有 、 、 、 。6、NISTSP800-30的風險管理包括三個過程： 、 、 、7、風險承受：接受潛在風險，繼續(xù)運行信息系統(tǒng)，或采取安全措施將風險降低到可接受的水平。8、微軟風險管理流程、 、4個主階段組成。9、評估風險：主要認為是識別組織面臨的風險并確定其優(yōu)先級，此階段中的主要步驟包、10、GB/T20269-200611、GB17859-199912、GB/T20271-2006信息安全風險評估概述1、信息安全風險評估的原則包、2、人員可控性、3、實際操作中經(jīng)常使用的風險評估包括 、 、 、4、包括兩種具體方法： 、 、5、安全工程過程中風險過程SSE-CMM 模型定義了四種風險程、6、能力成熟程度等級中SSE-CMM 模型定義了5 個能力級別分為、7、GB/T20984--2007的風險評估各7個過程分別 、8、技術評估是對組織的新書基礎結構和程序進行系統(tǒng)的、及時的檢查，包括對組織內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。9、常用的定性評估方法、10、風險矩陣測量法11、風險綜合評價法風險值=影響值-控制措施信息安全風險評估工具1、GB/T 20984--2007 將信息安全風險評估的工具為 、 、 、三類。2、脆弱性：3、漏洞主要包、三種。4、檢測漏洞有多種方法、5、脆弱性掃描作用：借助于掃描技術，人們可以發(fā)現(xiàn)網(wǎng)絡和主機存在的對外放的端口、提供的服務、某些系統(tǒng)信息、錯誤的配置和已知的安全脆弱性等。6、掃描技術可以分為四大、7、滲透測試