基于ISO17799信息安全管理体系风险评估

摘要

信息系统是一个组织运作的核心.信息系统的安全管理工作是一个动态循环演化的过程.风险评估作为其中的一个重要环节,为信息系统安全管理动态模型的持续改进提供了目标和要求.以往的信息系统安全管理工作存在与安全技术结合不紧密的缺陷,导致许多组织重视安全技术,忽视安全管理.该文在当前已有理论成果的基础上,提出了与信息安全技术相适应的信息安全纵深管理体系,加强了两者之间的联系,提高了风险管理工作的地位.该文在上述理论论证的指导下,参考安氏PADIMEE模型,并以ISO/IEC 17799为基础,建立了风险评估改进模型,完成了信息安全体系风险评估工具的数据库设计和程序设计,提高了风险评估工作的效率,增加了其结果的可信度与可比性,促进了国内信息安全管理工作的发展.

目录

文摘

英文文摘

创新性声明和关于论文使用授权的说明

第一章绪论

1.1国内外的研究发展

1.1.1国外的研究历程与现状

1.1.2国内研究现状

1.2本文的研究内容

1.2.1现状分析

1.2.2研究内容与面临的问题

第二章理论基础

2.1基本概念

2.1.1信息

2.1.2信息系统

2.1.3信息安全

2.1.4信息安全管理

2.1.5风险管理

2.2信息安全管理体系

2.3信息安全管理模型

2.4 风险评估过程

2.4.1 BS 7799中的风险评估过程

2.4.2本文所采用风险评估过程

第三章ISO/IEC 17799信息安全管理标准

3.1 ISO/IEC 17799基本内容

3.1.1安全策略

3.1.2组织安全

3.1.3资产分类与控制

3.1.4人员安全

3.1.5物理和环境安全

3.1.6通信和运营管理

3.1.7访问控制

3.1.8系统开发与维护

3.1.9商务持续性管理

3.1.10符合性

3.2标准分析

3.2.1标准的三层结构

3.2.2标准的量化与分解

3.2.3权重分派

第四章风险评估模型

4.1风险评估模型的输入值

4.2资产的识别与评价

4.3威胁的识别与评价

4.4薄弱点的识别与评价

4.5风险评估模型的建立

4.5.1风险的确定

4.5.2影响的确定

4.5.3主观性的消除

第五章数据库设计

5.1标准的转化

5.2数据库的总体设计

5.3信息库的设计与实现

5.4知识库的设计与实现

第六章程序设计

6.1概要设计

6.2详细设计

第七章结束语

7.1进一步工作

致谢

参考文献

在读期间研究成果