信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。信息系统安全风险评估是信息系统项目管理师考试的考点之一,下面希赛软考学院整理了信息系统安全风险评估章节的复习笔记,供您参考。
1、无形资产:诚信、可靠的信誉、产品的商标、商家的专利、知识产权等。
2、生产厂家的产品和工艺流程、参数等,为有形资产。
3、从业务应用信息系统安全威胁的分析来看,单位的“无形资产”是在“有形资产”破坏之后才引发的结果。
4、信息安全保障系统首先要考虑“有形资产”的保护。
5、风险的性质分:静态与动态;风险的结果分:纯粹与投机。
6、自然事件风险,是不以人的意志为转移的不可抗拒的天灾人祸,如911事件等恐怖事件都是自然事件风险。
7、人为事件风险,
(1)、意外的人为事件风险:内部涉密人员有意或无意泄密、无意更改重要记录信息、非授权人员无意查看或存取保密信息,随意的一切操作……
(2)、有意的人为事件风险:欺诈、偷窃、内部员工的有意破坏、侵犯他人个人隐私、恶意代码、黑客。
8、恶意的黑客行为,是指那些没有被授权的人非法侵入一个机构的计算机系统进行破坏的行为,包括内部和外部。
9、软件过程风险
(1)软件需求阶段的风险最大!
(2)设计本身的风险主要来自于系统分析人员,这一阶段另一种风险来自于设计文档。
(3)大型软件系统的最大风险:对系统可维护性的轻视。
10、控制避免信息应用管理风险的唯一办法:制定监督制度,完善项目管理机制。
11、未授权访问数据的风险:包括允许外界访问和了解目前组织状态与特征的信息泄露。
12、安全威胁的对象就是一个单位的有形、无形资产,主要是有形资产。
13、在鉴定资产时要注意在信息系统中的资产不只是软件和硬件,还包括了很多其他内容,如工作人员、单位形象、企业的字号、文档资料、各种服务等。
14、资产评估鉴定的理由是:要区别对待。所以资产评估一定要结合单位的实际需要和实际环境进行。
15、在一个划定的评估范围内的所有资产都必须进行鉴定,而对所有被排除在这个范围内的资产不论什么原因,也有必要进行额外的评估鉴定以确定它们没有被遗漏或忽略。
16、某单位资产被评估鉴定的细致程度要和该单位资产的价值相适应。
17、有必要对其价值或重要性做出一个非经济方面的评估,如用资产的质量作为其价值或重要性的量度。
18、针对特定的单位来说,可以特定低、中、高三种情况等符合其特定情况的评估鉴定标准。
19、资产之间的相关性在进行评估鉴定时是必须考虑的一个问题。资产评估鉴定的最后一步,就是列出一个所有被评估鉴定的资产清单。
20、威胁、脆弱性、影响之间存在着一定的对应关系:威胁是系统外部产生的,脆弱性是客观存在的,假设威胁不存在,系统本身的脆弱性仍然带来一定的风险。影响是威胁与脆弱性的特殊组合。
21、安全薄弱环节还可能与资产的性质或属性有关。
22、如果只有安全薄弱环节而没有与之相对应的安全威胁;或只有安全威胁而没有与之相对应的安全薄弱环节,就不能看作一项风险。