信息安全管理评估

1.1.2信息安全1（通常称是信息安全的三大安全属性，除此之外，还有可控性、不可否认性等其他属性。2、实现不可否认的技术手段一般。3、常地运行。4、信息安全的概念涵盖、 、3个方面的安全。5、信息安全管理通过维护信息的保密性、完整性和可用性等来管理和保护资6、信息安全管理的目的：将政策、硬件及软件等方法结合起来，构成一个统一的分层防卫系统，阻击非法用户进入，以减少网络系统受破坏的可能性。定非法入口位置的方法。使网络管理者能够很快地重新组织被破坏了的文件或者应用，使系统重新恢复到破坏前的状态，以最大限度地减少损失并促使系统恢复。2.1.1信息安全管理标准BS77991、BS7799分为2部分、2、10 大管理要项及相应的执行目标和控制措施为： 、 、 、 、 、 、 、。3、PDCA模型的主要过程： 、4、ISO/IEC13335：5、资产包括。6、CC(CommonCriteria，通用准则是目前国际最通行的信息技术产品与系统安全性评估准侧也是信息技术安全性评估经过国际互认的基础它定义了一能满足各种要求的IT准侧，将评估过程分两部分。2.21、GB/T19715.1-20052、GB/T19715.1-20053、CB/T19716-20054CB/T19716-2005使用准则》3.2信息安全管理的实施1、应避免风险评估仅限IT部门和安全专家的参与。2、风险评估应采相结合的风险评估方法。3、BS7799风险水平，而在于让企业拥有可控的风险管理架构、方法和保障落实机制。4、安全策略作为指导信息安全活动企业中其他的各种规定制度等不应与其冲突。5、人员安全包括3个执行目标。6、符合性包括三个执行目标： 、 、 信息安全风险管理1、信息安全风险管理设计信息安全的。

3 大类保护对安全措（Security、 的总称。2、业务战略的实现对资产的依赖程度 ，资产，要求其风。3、在 AS/NZS 4360:1999 中 ， 风 险 管 理 、 、5个步骤和 、2个附加环节（参照P51图4-2）4、风险识别的识别方法 、其中 、是最有效的风险识别方法。5、风险处置的方法有 、 、 、 。6、NISTSP800-30的风险管理包括三个过程： 、 、 、7、风险承受：接受潜在风险，继续运行信息系统，或采取安全措施将风险降低到可接受的水平。8、微软风险管理流程、 、4个主阶段组成。9、评估风险：主要认为是识别组织面临的风险并确定其优先级，此阶段中的主要步骤包、10、GB/T20269-200611、GB17859-199912、GB/T20271-2006信息安全风险评估概述1、信息安全风险评估的原则包、2、人员可控性、3、实际操作中经常使用的风险评估包括 、 、 、4、包括两种具体方法： 、 、5、安全工程过程中风险过程SSE-CMM 模型定义了四种风险程、6、能力成熟程度等级中SSE-CMM 模型定义了5 个能力级别分为、7、GB/T20984--2007的风险评估各7个过程分别 、8、技术评估是对组织的新书基础结构和程序进行系统的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。9、常用的定性评估方法、10、风险矩阵测量法11、风险综合评价法风险值=影响值-控制措施信息安全风险评估工具1、GB/T 20984--2007 将信息安全风险评估的工具为 、 、 、三类。2、脆弱性：3、漏洞主要包、三种。4、检测漏洞有多种方法、5、脆弱性扫描作用：借助于扫描技术，人们可以发现网络和主机存在的对外放的端口、提供的服务、某些系统信息、错误的配置和已知的安全脆弱性等。6、扫描技术可以分为四大、7、渗透测试