信息安全

1.信息安全是指信息的保密性、完整性、可用性和真实性的保持。

2、信息安全的重要性

a.信息安全是国家安全的需要

b.信息安全是组织持续发展的需要

c.信息安全是保护个人隐私与财产的需要

3、如何确定组织信息安全的要求

a.法律法规与合同要求

b.风险评估的结果(保护程度与控制方式)

c.组织的原则、目标与要求

4.我国在信息安全管理方面存在的问题

宏观：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信

息安全的第一道防线.

（2）管理问题。（包括三个层次：组织建设、制度建设和人员意识）

（3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信

息技术之上的,导致我国在网络时代没有制网权.

微观：（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。

（3）安全管理缺乏系统管理的思想。

5.系统的信息安全管理原则：制订信息安全方针原则;风险评估原则;费用与风险平衡原则;预

防为主原则;商务持续性原则;动态管理原则;全员参与的原则;PDCA原则

6、系统信息安全管理与传统比较

系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信

息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业

务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人

负责的、突击式的、事后纠正式的，不能从根本上避免、降低各类风险，也不

能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。

6.与风险评估有关的概念

a.威胁,是指可能对资产或组织造成损害的事故的潜在原因。

b.薄弱点,是指资产或资产组中能被威胁利用的弱点。

威胁与薄弱点的关系：威胁是利用薄弱点而对资产或组织造成损害的.

c.风险,即特定威胁事件发生的可能性与后果的结合。

d.风险评估,对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估.它是确

认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,

所以,风险评估也称为风险分析.

7.与风险管理有关的概念

风险管理,以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。

a.安全控制，降低安全风险的惯例、程序或机制。

b.剩余风险，实施安全控制后，剩余的安全风险

c.适用性声明，适用于组织需要的目标和控制的评述

8.风险评估与管理的术语关系图

（其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与

资产间均存在有直接或间接的关系）

风险管理

风险评风险控制降低风险

威胁

利用

薄弱点

防范导致暴露导致

安全控制安全风险资产

达到指出增加具有

安全要求

资产价值和

潜在影响

降低

9.风险评估过程

a.风险评估应考虑的因素

（1）信息资产及其价值

（2）对这些资产的威胁，以及他们发生的可能性

（3）薄弱点

（4）已有的安全控制措施

b.风险评估的基本步骤

（1）按照组织商务运作流程进行信息资产识别，并根据估价原则对资产进行估价

（2）根据资产所处的环境进行威胁识别与评价

（3）对应每一威胁，对资产或组织存在的薄弱点进行识别与评价

（4）对已采取的安全控制进行确认

（5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级

10.资产识别与估价

资产识别时常应考虑：（1）数据与文档（2）书面文件（3）软件资产（4）实物资

产（5）人员（6）服务

11.资产估价的概念

资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。

在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是考虑资产对于组织商务的重

要性，即根据资产损失所引发的潜在的商务影响来决定。

12.P

TV

=P

T

*P

V

式中P

TV

——考虑资产薄弱点因素的威胁发生的可能性；

P

T

——未考虑资产薄弱点因素的威胁发生的可能性，即这一威胁发生可能性的组织、

行业、地区或社会均值；

P

V

——资产的薄弱点被威胁利用的可能性

13.威胁的评价

评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同，

即导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要度）为限。

威胁的潜在影响I=资产相对价值V*价值损失程度C

L

价值损失程度C

L

是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全

丧失（即C

L

=1），但不可能对资产价值没有任何影响（即C

L

≠0）。为简化评价过程，可以

用资产的相对价值代替其所面临的威胁产生的影响，即用V代替I，让C

L

=1。

14.风险评估（重点）

①风险测量方法—风险大小和等级评价原则

风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数:

R=R(PT,PV,I)

其中：R---资产受到某一威胁所拥有的风险

例2-3使用风险矩阵表进行测量（预先价值矩阵）

例2-4二元乘法风险测量，计算公式为：R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性

PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积

例2-5关于网络系统的风险测量举例

R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO)式中：V----系统的重要性

PO---防止威胁发生的可能性,PTV=1-PO

PD---防止系统性能降低的可能性,CL=1-PD

例2-6,7可接受的和不可接受的风险区分方法

③风险优先级别确定

例2-8利用区间的方法将例2-1计算的风险进行等级划分

15.安全控制的识别和选择：

选择依据①以风险评估的结果为依据②以费用因素为依据

16.风险控制：

降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点

⑤减少威胁可能的影响程度⑥探测有害事故，对其做出反应并恢复,属及时捕捉威胁

17.基本的风险评估

优点：（1）风险评估所需资源最少，简便易行

（2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精

力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的

解决方案。

缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，

对一些组织来说，可能会得不到充分的安全。（由于方法是基本的，不细，较粗，因此，评

估结果可能也较粗，不够精确，有一定的出入）

（2）对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估

最初的控制是否仍然充分就有一定的困难。

18.详细的风险评估

优点：（1）能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求

的安全水平。

（2）可以从详细的风险评估中获得额外信息，使与组织更改相关的安全管理受益。

缺点：（1）需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边

界，需要管理者持续关注，因而需要花费相当的时间、精力和技术才能获得可行的结果。

（2）不能把一个系统的控制方案简单移植到另一个系统中，甚至是一个以为类似的

系统中。.

19.风险评估和管理方法的选择应考虑的因素

⑴商务环境

⑵商务性质和重要性

⑶对支持组织商务的信息系统的技术性和非技术性的依赖

⑷商务及其支持系统、应用软件和服务的复杂性

⑸商业伙伴和外部业务以及合同关系的数量

20.风险管理实施惯例

十大最佳安全控制惯例:安全方针安全组织资产分类人员安全实物与环境安全通信与运

作管理访问控制系统开发与维护商务持续性管理依从(或称符合性)