风险管理与安全成熟度模型讲解(ppt 89页)

风险管理与安全成熟度模型讲解目录：
1  风险管理
2  安全成熟度模型
3  威胁
4  安全评估方法
5  安全评估准则
6  本章小结

 

 

风险管理与安全成熟度模型讲解内容摘要：
    针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化，新的应用正在开发，新的平台正在加到非军事区（DMZ），额外的端口正在加进防火墙。由于竞争，很多应用在市场的生存时间越来越短，软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录，将计算机、网络设备以及在网络上的各个应用编制进去，而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分，应用的漏洞（脆弱性）不断发生。
    安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念，称为安全成熟度模型（Security Maturity Model, SMM）,用来适当地测量一个给定的准则，该准则基于在工业界最佳的经营业务实际，且能将其反馈到经营业务。它还提供一个改进的方法，包括将不足之处列成清单。安全成熟度模型可测量企业安全体系结构的3个不同部分：计划、技术与配置、操作运行过程。
    风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO（Chief Financial Officer, 首席财务执行官）、经营业务部门的负责人，以及信息所有者。

..............................