关于信息安全风险管理 理论与实践发展的一些思考 XXX XX年Ⅹ月XX日
关于信息安全风险管理 理论与实践发展的一些思考 XXX XX年X月XX日
关于信息安全风险管理理论与实践发展的一些思考 、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 信息安全风险管理上存在的问题只能 靠信息安全实践来解决
关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
关于信息安全风险管理理论与实践发展的一些思考 、信息安全风险管理理论来源于 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 信息安全风险管理上存在的问题只能 靠信息安全实践来解决
关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
信息安全风险管理理论来源于信息安全实践 风险管理( Risk management)包括风险识别 风险分析、风险评估和风险控制等内容。 ◆国外许多专家认为,风险管理是信息安全的基 础工作和核心任务之一,是最有效的一种措施 是保证信息安全投资回报率优化的科学方法。 现代风险管理理论产生于西方资本主义国家 它是为制定有效的经济发展战略和市场竞争策 略而创造的一种理论、方法和措施
一、信息安全风险管理理论来源于信息安全实践 风险管理(Risk management)包括风险识别、 风险分析、风险评估和风险控制等内容。 国外许多专家认为,风险管理是信息安全的基 础工作和核心任务之一,是最有效的一种措施, 是保证信息安全投资回报率优化的科学方法。 现代风险管理理论产生于西方资本主义国家, 它是为制定有效的经济发展战略和市场竞争策 略而创造的一种理论、方法和措施
信息安全风险管理理论来源于信息安全实践 ◆风险管理理论由于它的广泛适用性、现已应用于 各国社会与经济发展、国家建设、国家安全、公 共安全和信息安全诸多领域。 ◆风险管理理论应用子信息安全领域始手20世纪 60年代。此后,信息安全风险管理的实践和理 论的发展大体上经过了三个阶段:
一、信息安全风险管理理论来源于信息安全实践 风险管理理论由于它的广泛适用性、现已应用于 各国社会与经济发展、国家建设、国家安全、公 共安全和信息安全诸多领域。 风险管理理论应用于信息安全领域始于20世纪 60年代。此后,信息安全风险管理的实践和理 论的发展大体上经过了三个阶段:
信息安全风险管理理论来源于信息安全实践 (-)、20世纪60年代至80年代是信息安全风险管 理 实践与理论发展的初期阶段 (二)、20世纪80年代末至90年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 (三)、20世纪90年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管 理 实践与理论发展的初期阶段 (二)、20世纪80年代末至90年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 (三)、20世纪90年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 20世纪60年代,随着资源共享计算机系统和 早期计算机网络的出现,计算机安全问题初步显露。 1967年秋,美国国防部托兰德公司为首的多个研 究机构和企业,进行了美国历史上第一次大规模的 计算机安全风险评估,历时三年。1970年初出版了 个长达数百页的机密报告《计算机安全控制》。 该报告奠定了国际安全风险评估的理论基础
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 20世纪60年代,随着资源共享计算机系统和 早期计算机网络的出现,计算机安全问题初步显露。 1967年秋,美国国防部委托兰德公司为首的多个研 究机构和企业,进行了美国历史上第一次大规模的 计算机安全风险评估,历时三年。1970年初出版了 一个长达数百页的机密报告《计算机安全控制》。 该报告奠定了国际安全风险评估的理论基础
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风 险管理及相关的安全评测标准。其中: 第一组标准是由国家标准局(NBS)制定的,如: FIPS PUB31自动数据处理系统物理安全和风险管 理指南(1974年)。 FIPS PUB65自动数据处理系统风险分析指南 (1979年)
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风 险管理及相关的安全评测标准。其中: 第一组标准是由国家标准局(NBS)制定的,如: FIPS PUB 31自动数据处理系统物理安全和风险管 理指南(1974年)。 FIPS PUB 65自动数据处理系统风险分析指南 (1979年)
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 第二组是由美国国防部国家安全局于1983年后 陆续制定的计算机系统安全评估系列标准,主要包 括《可信计算机系统安全评估准则》( TCSEC)、 《可信网络解释》(TNI)、《特定环境下的安全 需求》等等,总计约40来个各类标准。由于每个标 准用不同颜色的封皮,俗称为“彩虹系列
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 第二组是由美国国防部国家安全局于1983年后 陆续制定的计算机系统安全评估系列标准,主要包 括《可信计算机系统安全评估准则》(TCSEC)、 《可信网络解释》(TNI)、《特定环境下的安全 需求》等等,总计约40来个各类标准。由于每个标 准用不同颜色的封皮,俗称为“彩虹系列”
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列 中《安全需求技术原理》标准指出:“评估一个计 算机系统的安全级别依赖于该系统存在的风险水平 即风险因子( RISK INDEX)”,“还存在影响安 全风险的其他诸如任务关键性、所需拒绝服务保护 和威胁的严重性等因素
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列 中《安全需求技术原理》标准指出:“评估一个计 算机系统的安全级别依赖于该系统存在的风险水平, 即风险因子(RISK INDEX)” , “还存在影响安 全风险的其他诸如任务关键性、所需拒绝服务保护 和威胁的严重性等因素