[内部审计]安全认证和评估(ppt 48页)
[内部审计]安全认证和评估(ppt 48页)内容简介
[内部审计]安全认证和评估目录:
20.1 风险管理
20.2 安全成熟度模型
20.3 威胁
20.4 安全评估方法
20.5 安全评估准则
20.6 本章小结
[内部审计]安全认证和评估内容提要:
风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO(Chief Financial Officer, 首席财务执行官)、经营业务部门的负责人,以及信息所有者,一个组织的总的风险依赖于下面一些属性:资产的质量(丢失资产的效应)和数量(钱)的价值;基于攻击的威胁可能性;假如威胁实现,对经营业务的影响。
将资产价值和代价相联系或决定投资回报(Return On Investment, ROI)的能力经常是困难的。相反,可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息,因为对这些信息的错误处理,其结果将危害到国家秘密。比之于商业组织,政府愿意花更多的费用来保护信息,直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的,很多金融贸易系统因此而遭受大量经济损失。生产的降低,例如E-mail服务器宕机,很多组织的工作将停止。
与定量的代价相比,质量的代价对组织的破坏更大。假如用来销售的Web站点被黑客破坏了,有可能所有客户的信用卡号被偷,这将严重地影响这个站点的信誉。也有可能在短时期内,经营业务停止,风险评估对漏洞和威胁的可能性进行检查,并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具,然而十分熟悉网上的应用,可以删除文件、引起某些物理损坏,甚至是逻辑炸弹等。
..............................
用户登陆
安全生产热门资料
安全生产相关下载