風險管理與安全成熟度模型講解(ppt 89頁)

風險管理與安全成熟度模型講解目錄：
1 風險管理
2 安全成熟度模型
3 威脅
4 安全評估方法
5 安全評估準則
6 本章小結

風險管理與安全成熟度模型講解內容摘要：
針對內部和外部的攻擊所采用的安全體係結構的能力需要認證和評估。技術在不斷變化，新的應用正在開發，新的平台正在加到非軍事區（DMZ），額外的端口正在加進防火牆。由於競爭，很多應用在市場的生存時間越來越短，軟件開發生命周期中的測試和質量保證正在忽略。很多大的組織甚至沒有一個完全的目錄，將計算機、網絡設備以及在網絡上的各個應用編製進去，而隻是將這些組件獨自地進行配置。由於沒有將安全測試作為軟件質量保證的一個組成部分，應用的漏洞（脆弱性）不斷發生。
安全評估認證安全體係結構是否能滿足安全策略和最好的經營業務實際。一個典型的安全評估問題是它經常沒有用於對經營業務的影響的評析。這裏引入一個概念，稱為安全成熟度模型（Security Maturity Model, SMM）,用來適當地測量一個給定的準則，該準則基於在工業界最佳的經營業務實際，且能將其反饋到經營業務。它還提供一個改進的方法，包括將不足之處列成清單。安全成熟度模型可測量企業安全體係結構的3個不同部分：計劃、技術與配置、操作運行過程。
風險管理是識別、評估和減少風險的過程。一個組織有很多個體負責對給定應用接受給定風險。這些個體包括總經理、CFO（Chief Financial Officer, 首席財務執行官）、經營業務部門的負責人，以及信息所有者。

..............................