[内部审计]安全认证和评估(ppt 48页)

[内部审计]安全认证和评估目录：
20.1  风险管理
20.2  安全成熟度模型
20.3  威胁
20.4  安全评估方法
20.5  安全评估准则
20.6  本章小结

[内部审计]安全认证和评估内容提要：
         风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO（Chief Financial Officer, 首席财务执行官）、经营业务部门的负责人，以及信息所有者，一个组织的总的风险依赖于下面一些属性：资产的质量（丢失资产的效应）和数量（钱）的价值；基于攻击的威胁可能性；假如威胁实现，对经营业务的影响。
         将资产价值和代价相联系或决定投资回报（Return On Investment, ROI）的能力经常是困难的。相反，可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息，因为对这些信息的错误处理，其结果将危害到国家秘密。比之于商业组织，政府愿意花更多的费用来保护信息，直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的，很多金融贸易系统因此而遭受大量经济损失。生产的降低，例如E-mail服务器宕机，很多组织的工作将停止。
        与定量的代价相比，质量的代价对组织的破坏更大。假如用来销售的Web站点被黑客破坏了，有可能所有客户的信用卡号被偷，这将严重地影响这个站点的信誉。也有可能在短时期内，经营业务停止，风险评估对漏洞和威胁的可能性进行检查，并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具，然而十分熟悉网上的应用，可以删除文件、引起某些物理损坏，甚至是逻辑炸弹等。

 

 

..............................