风险评估简介(51页)ppt.rar
已下载:1 次 是否免费: 否 上传时间:2021-06-11
目 录
风险评估概述
风险评估的依据及原则
风险评估流程
风险评估的方法
风险评估的输出结果
Q&A
风险评估概述
在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。
风险
风险评估(Risk Assessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
风险评估
风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。
风险管理
风险评估与管理的目标
采取有效措施,降低威胁事件发生的可能性,或者减小威胁事件造成的影响,从而将风险消减到可接受的水平。
威胁
漏洞
资产
基本的风险
采取措施后剩余的风险
绝对安全是不存在的!
绝对的零风险是不存在的,要想实现零风险,也是不现实的;
计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般 来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。
在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”