信言息安全风险管理的动态与趋势

如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险，自然成为各方面都十分关注的问题，本文对国内外信息安全风险管理的动态和趋势作一简要勾勒，供大家参考。     

信息安全风险管理(二)

风险管理的首要任务是明确信息安全目标(Objective)，即信息安全管理所要实现的目标。安全目标决定了组织能够接受的风险水平和所应满足的安全程度，这是信息安全管理得以成功的关键。为了确定安全目标，组织应该充分考虑对其商务功能起着支持作用的信息资产的重要性和价值，在此过程中，组织应该考虑到以下问题：     

顺风耳

Future-S 2011风险管理年会京沪双城落幕 5月25日，“Future—S第23站：第七届风险管理京沪双城年会2011”北京站开幕。年会围绕企业IT风险管理和信息安全风险管理，华丽展现“驾驭风险·引领未来”潮流趋势，吸引了来自全国各地风险管控领先企业20强、世界五百强和国内行业领先前100家公司的企业高层（CE...     

基于安全漏洞分析的风险度量方法

正在信息安全风险管理领域,存在如下三个需求或问题:企业高层管理者需要从宏观视角看到企业信息安全风险的整体态势;信息安全风险度量方法客观性不足,现有度量方法包含的主观因素太多,导致度量结果难以得到广泛的认可;信息安全风险的处置策略和方案选择缺少客观的选择依据,风险控制结果的有效性难以评价;     

对民航信息系统安全分析

民航信息系统安全是民航安全工作中不可分割的重要组成部分,信息安全风险评估是风险管理的基础,是组织确定安全要求的主要途径。只有通过风险评估识别组织所面临的安全风险,并确定风险控制的优先权,才能对其实施有效的控制,从而将风险控制在组织可以接收的范围内。为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据,有的放矢,将有限的信息安全预算应用到最需要的地方,确保控制费用与安全风险之间的平衡,以带来可持续的发展。     

信息安全超越IT

构筑信息安全体系,并非只有IT。IT的目标是运营获利,而非其他。没有一个体系是完整的,也没有一个体系运营是没有风险的,所以必须很清楚知道风险管理机制。信息安全风险只是所有风险中的一部分,所以必须在整个企业运营的框架中考虑信息流的重要程度。信息安全必须根据业务需求做出判断。要建设信息安全管理体系,必须了解企业目前的规范流程,并且获得企业最高管理层的支持。然后进行培训、定义作业和信息安全方针。因为所有的操作必须向下展开,90%操作都会无法完成。因此,必须要求领导懂IT技术也有核心思想,要像谈判一样不断循环建立这个系…     

发电企业计算机网络信息安全与防护浅谈

发电企业计算机网络信息安全问题已威胁电力系统安全、稳定、可靠、优质地运行。通过对发电企业计算机网络系统信息安全危险分析,根据发电企业的特点提出了相应的风险防范措施。     

网络安全趋势坚固业务发展——3月11日-5月15日企业网络安全现状有奖大调查

随着网络经济和网络社会时代的到来,信息系统安全已经成为企业最为关注并亟待解决的问题,作用和影响力已扩散到企业与组织的每一个领域。鉴于当前绝大多数企业的桌面系统使用Windows平台,对如何确保Windows平台安全和最大限度地降低IT风险已经成为企业必须真接面对的问题．通过本次调查我们旨在了解和掌握备企业信息安全状态,以便我们信息安全专业委员会为您的企业提供更为深入的安全信息建议,帮助备企业在实现IT价值最大化的同时确保IT系统架构的最大安全化。     

浅谈信息安全风险评估在信息化建设中的作用

现代社会、大型企业对信息系统的强烈依赖已经成为信息化过程中重大问题,信息化过程中已经暴露的和潜在的信息安全问题已经成为制约信息化发展的关键问题,那么如何有效发现、控制、解决信息安全问题就成为信息化建设的重中之重,而信息安全风险评估就是信息安全工作有的放矢的基本保证措施之一,是风险管理的有机组成部分,是企业内控要求的基本内容之一。     

网络安全应急体系探究

信息安全的保障是一个全过程，风险管理对于信息系统，以及运营商企业、机构来讲更为重要，只有弄清楚怎么进行风险管理，把风险降到最低限度，而且用应急处理办法把损失降到最低和．可以承受的程度，这是信息系统保障很重要的环节，尤其对保障电信网络安全是至关重要的。     

风险管理 未雨绸缪保安全

随着信息技术应用的发展和我国信息化建设的不断推进,国家、单位、组织和个人对信息技术的依赖程度越来越大。人们在充分享受信息技术所带来的便利时,也逐渐意识到信息技术是把双刃剑,带来了很多安全问题。信息安全正日益成为影响信息技术和信息系统发展的重要因素。在处理各类安全事故过程中,人们逐渐认识到,信息安全问题和其它安全问题(如健康问题、财产安全、金融安全等)一样,都涉及到一个风险管理问题。信息系统风险管理过程指的是,通过风险评估标识出系统中的风险后,解释风险,决定风险对策,制定风险计划并实施,使风险降低至可接受程度…     

顺风耳

Future-S 2011风险管理年会京沪双城落幕 5月25日,“Future—S第23站：第七届风险管理京沪双城年会2011”北京站开幕。年会围绕企业IT风险管理和信息安全风险管理,华丽展现“驾驭风险·引领未来”潮流趋势,吸引了来自全国各地风险管控领先企业20强、世界五百强和国内行业领先前100家公司的企业高层（CEO）、信息主管（CIO）等400余位嘉宾参加。     

多因素分层模糊综合风险评估方法的应用研究

针对电子档案信息安全指标体系中的指标属性冗余的问题,提出了基于相关分析的指标属性检测方法。该方法采用量化指标属性的原则,根据指标属性的平均值和标准差,度量指标属性间的相关性;针对信息安全风险评估准确度不高的问题,提出了多因素分层模糊综合评估模型,该算法采用了层次分析法和模糊数学理论。某单位的电子档案信息系统的实际应用结果表明,该方法能直观、有效地评估系统,评估结果与实际吻合程度较高,为信息安全风险决策提供可靠的依据。     

COBIT信息安全风险评估方法探讨

COBIT作为一种IT治理模型在近几年被越来越多的组织所接受，风险管理则是组织所采用的最多的管理信息安全问题的方法，与COBIT的控制思想相同，两类方法都需要明确管理或控制的目标，并将其作为起点实施各项控制或审计工作。     

SOC建设:从PPT到PPTD

人、过程和技术（PPT：People,Process and Technology）是管理体系建设的三个关键要素,特别是针对质量管理和安全的管理体系尤为如此。在信息安全领域中,管理体系建设既包括面向整个组织的信息安全管理系统,也包括信息安全运行中心（SOC）这样的组织建设。前者面向整个企业的信息安全风险管理,后者面向企业信息安全威胁和事件的集中监控。     

“等保”落地生根为何如此之难？

“安全等保”的生命力在于把国家风险管理和企业信息系统拥有者的风险做了有机结合。但是,目前我国的信息安全法规还没有真正和应用发展同步。这也是我们试图改变的。     

一种新的信息安全测评系统与方法的研究

信息安全风险测评是一个综合的复杂的系统过程,必然涉及到方方面面的众多因素,错综复杂,交错依赖.利用自动化的风险测评工具,人们可以提高风险分析与测评的效率.本文设计并实现了一个信息安全测评系统,风险测评系统实现了风险管理平台中信息收集层及信息处理层的功能,融合了漏洞扫描技术、威胁识别技术和风险测评技术.     

一种新的信息系统安全风险概率评估技术研究

研究信息系统安全评估技术,由于信息系统安全问题的日益不确定性和复杂性,传统的仅依靠固定的几个信息系统属性的安全评估方法已不能有效将隐藏在系统中的安全风险监测出来,造成信息系统安全评估的准确性和有效性不高的问题。为了解决上述难题,提出了一种多维属性的信息系统安全评估方法。通过提取信息系统中的多维度属性信息,并采用信息熵和多属性决策算法提取出其中可疑度较高的属性,最后利用筛选出的属性计算出风险概率,完成安全问题的最终评估。仿真结果表明,新方法能够有效提取出隐藏在复杂信息系统中的风险信息,并准确完成对安全风险的评估,取得了满意的结果。     

信息安全风险管理的动态与趋势

如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛,在公众网络中间构建相对可信的网络,成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险,自然成为各方面都十分关注的问题,本文对国内外信息安全风险管理的动态和趋势作一简要勾勒,供大家参考。     

从风险评估到风险管理

继7月5日、7月12日《高端导刊－安全》栏目持续关注信息安全风险评估之后，本期的话题转向信息安全风险管理。国信办信息安全风险评估课题组成员范红博士认为，风险评估和风险管理是不可分的。风险评估是风险管理的重要环节，只有通过有效的风险管理，风险评估的作用和意义才能实现。在风险管理中应对如何建立客户与评估方之间的标准会话提供指导性意见，并注重评估风险。并确定风险评估应对应于客户的业务运营系统，而不仅仅局限于计算设施系统。CA、IBM、冠群金辰、卫士通等公司的相关人士从不同的角度，阐述了信息安全风险管理的实际意义及实施方法。栏目热线：jiez@ccu.com.cn