摘要:希赛小编为大家整理了几篇信息系统项目管理师教程知识点精讲,以下是有关第二十五章信息系统安全风险评估的内容。
>>>>>【自学备考】软考神器,希赛软考学习包,有它考试就够了!
希赛小编为大家整理了几篇信息系统项目管理师教程知识点精讲,以下是有关第二十五章信息系统安全风险评估的内容。
无形资产:诚信、可靠的信誉、产品的商标、商家的专利、知识产权等。生产厂家的产品和工艺流程、参数等,为有形资产。
从业务应用信息系统安全威胁的分析来看,单位的“无形资产”是在“有形资产”破坏之后才引发的结果。信息安全保障系统首先要考虑“有形资产”的保护。
风险的性质分:静态与动态;风险的结果分:纯粹与投机。
自然事件风险,是不以人的意志为转移的不可抗拒的天灾人祸,如911事件等恐怖事件都是自然事件风险。人为事件风险,
1、意外的人为事件风险:内部涉密人员有意或无意泄密、无意更改重要记录信息、非授权人员无意查看或存取保密信息,随意的一切操作。
2、有意的人为事件风险:欺诈、偷窃、内部员工的有意破坏、侵犯他人个人隐私、恶意代码、黑客。恶意的黑客行为,是指那些没有被授权的人非法侵入一个机构的计算机系统进行破坏的行为,包括内部和外部。
软件过程风险
软件需求阶段的风险最大!
设计本身的风险主要来自于系统分析人员,这一阶段另一种风险来自于设计文档。大型软件系统的最大风险:对系统可维护性的轻视。
控制避免信息应用管理风险的办法:制定监督制度,完善项目管理机制。
未授权访问数据的风险:包括允许外界访问和了解目前组织状态与特征的信息泄露。安全威胁的对象就是一个单位的有形、无形资产,主要是有形资产。
在鉴定资产时要注意在信息系统中的资产不只是软件和硬件,还包括了很多其他内容,如工作人员、单位形象、企业的字号、文档资料、各种服务等。
资产评估鉴定的理由是:要区别对待。所以资产评估一定要结合单位的实际需要和实际环境进行。
在一个划定的评估范围内的所有资产都必须进行鉴定,而对所有被排除在这个范围内的资产不论什么原因,也有必要进行额外的评估鉴定以确定它们没有被遗漏或忽略。
某单位资产被评估鉴定的细致程度要和该单位资产的价值相适应。
有必要对其价值或重要性做出一个非经济方面的评估,如用资产的质量作为其价值或重要性的量度。针对特定的单位来说,可以特定低、中、高三种情况等符合其特定情况的评估鉴定标准。
资产之间的相关性在进行评估鉴定时是必须考虑的一个问题。资产评估鉴定的最后一步,就是列出一个所有被评估鉴定的资产清单。威胁、脆弱性、影响之间存在着一定的对应关系。
威胁是系统外部产生的,脆弱性是客观存在的,假设威胁不存在,系统本身的脆弱性仍然带来一定的风险。影响是威胁与脆弱性的特殊组合。
安全薄弱环节还可能与资产的性质或属性有关。
如果只有安全薄弱环节而没有与之相对应的安全威胁;或只有安全威胁而没有与之相对应的安全薄弱环节,就不能看作一项风险。
为了帮助广大考生顺利的通过考试,希赛网开设了信息系统项目管理师网络课堂,网络课堂在晚上或者是周末上课,利用工作之外的时间,不耽误上班族工作或者是学生族上课。网络课堂提供录播视频,上课没听懂的内容课后可以反复听来理解。与网络课堂配套的还有电子版信息系统项目管理师辅导教材(可做笔记、在线提问)、信息系统项目管理师视频教程、信息系统项目管理师历年考试真题在线测试(测试完有答案及解析,平台会记录错题,还有能力评估表),此外还提供在线答疑,学习过程中有疑问,随时可以在希赛平台提问,有专业老师及时解答。
软考备考资料免费领取
去领取