ISO 27001信息安全体系认证(四) |
2019-08-14 09:56:21 |
三、信息安全管理体系建置方案ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS),公司遵循此精神分成四大阶... |
ISO 27001信息安全体系认证(三) |
2019-08-14 09:56:05 |
二、ISO/IEC27001:2005标准的架构共分成11个主题,39个控制目标,133个控制措施。11个主题包括:1)SecurityPolicy(安全政策)2)Organizationofinfo... |
ISO 27001信息安全体系认证(二) |
2019-08-14 09:55:43 |
中国信息安全测评中心(以下简称国家中心)是代表国家具体实施信息安全测评认证的实体机构。根据国家授权,依据产品标准和国家质量认证的法律、法规结合信息安全产品的特点开展测评工作。 授... |
ISO 27001信息安全体系认证(一) |
2019-08-14 09:55:06 |
信息技术已经成为应用面极广、渗透性很强的战略性技术。信息安全产品和信息系统固有的敏感性和特殊性,直接影响国家的安全利益和经济利益。各国政府纷纷采取颁布标准,实行测评和认证制度等方式,对信息... |
一家网络书店可能面临的主要威胁来源 |
2017-09-08 13:38:12 |
环境因素、意外事故或故障:由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;意外事故或由于软件、硬件、数据、通信线路方面的... |
信息安全管理体系中资产的重要度分级 |
2017-09-08 13:37:46 |
信息安全管理体系中资产的重要度是如何定义、识别和评价的?举例说明。 重要度等级高的示例:财务数据;核心业务数据;密码、私用密钥;知... |
识别控制措施(之二) |
2017-09-08 13:37:13 |
NISTSP800-26中将一个组织主要的控制活动分为三类:管理控制、运行控制和技术控制。 管理控制包括:风险控制、检查安全控制、... |
识别控制措施(之一) |
2017-09-08 13:36:49 |
控制措施:对资产或组织可能导致负面结果的一个事件的潜在源。控制措施是在行政、技术、管理和法律方面的管理风险的方法,包括策略、程序、指南、实践或组织结构。控制措施也用... |
什么是风险应对和应对选项 |
2017-09-05 13:29:10 |
如果把风险评估比喻为是“对症”的过程,那么风险应对就可以认为是“下药”的过程。无论我们进行了多少复杂和专业的评估流程,都不能改变组织的安全现状,对安全现状的改变集中... |
如何分析风险的大小 |
2017-09-05 13:28:45 |
风险可以表示为下面这个函数:R=f(A,T,V,C),其中A指资产,T指威胁,V指脆弱性,C指控制措施。但是就计算方法而言,目前并没有成熟的方法,一般是用上述步骤描... |
风险应对的基本流程 |
2017-09-05 13:27:56 |
1)排列行动优先级 将风险列表按照大小重新排列,得出行动的优先级。这样做的目的是使组织面临的最大风险在最短的时间内得到解决。 &nb... |
分析影响 |
2017-09-05 13:27:18 |
影响级别是威胁一次成功的利用脆弱性后对组织造成的不期望的后果或损失的相对等级。 无论用什么样的表达来定义影响级别,都应该从保密性、... |
分析可能性 |
2017-09-05 13:26:55 |
威胁利用脆弱性有两个最重要的属性,即可能性和影响。影响这两个值大小的最重要因素就是控制措施。 可能性的级别是要说明一个脆弱性在相关... |
风险评估之三:识别威胁和脆弱性(2) |
2017-09-04 14:25:15 |
风险评估中关注的是脆弱性,而不是弱点。因此,在描述脆弱性时,一般要一并描述其可能面临的威胁。 从脆弱性的概念,我们可以得知,脆弱性... |
风险评估之三:识别威胁和脆弱性(1) |
2017-09-04 14:24:41 |
威胁:对资产或组织可能导致负面结果的一个事件的潜在源。威胁源分三类:自然威胁、人为威胁和环境威胁。动机和能力是威胁的重要属性。如果威胁源的动机是故意的,显然要比非故... |
风险评估之二:识别并评价资产(2) |
2017-09-04 14:24:10 |
资产面临风险=自身面临风险+传递风险。将资产划归到系统进行评估。对于如何解决资产数量过大和资产之间关联的问题,并没有很好的思路。面对系统还是面对资产来避开资产之间关... |
风险评估之二:识别并评价资产(1) |
2017-09-04 14:20:40 |
资产:对组织具有价值的任何东西。资产的范围是非常宽泛的,所以被组织赋予了价值并且需要保护的资源,都是资产。我们把信息资产定义为与信息相关的所有资产,例如信息、信息处... |
风险评估之一:风险评估准备(2) |
2017-09-04 14:20:15 |
三)组建风险评估核心小组 在组建风险评估核心小组时,其成员不应该仅仅来自于技术部门。无论小组成员对于风险评估的流程是否熟悉,都应该进行适当的培训,以对本次评估的起因和... |
风险评估之一:风险评估准备(1) |
2017-09-04 14:19:17 |
由于信息系统的复杂性,要进行一次完整的风险评估是困难的。一次完整的风险评估要涉及组织的很多部门和不同部门的相关人员,其中需要大量的协调工作,因此,风险评估的准备活动... |
认识“风险应对” |
2017-08-21 14:24:41 |
风险应对的定义:处理风险的过程。风险应对可以包括: 不开始或不再继续导致风险的行动,以规避风险; 为寻找机会而承担或增加风险;&nb... |