[內部審計]安全認證和評估(ppt 48頁)

[內部審計]安全認證和評估目錄：
20.1 風險管理
20.2 安全成熟度模型
20.3 威脅
20.4 安全評估方法
20.5 安全評估準則
20.6 本章小結

[內部審計]安全認證和評估內容提要：
風險管理是識別、評估和減少風險的過程。一個組織有很多個體負責對給定應用接受給定風險。這些個體包括總經理、CFO（Chief Financial Officer, 首席財務執行官）、經營業務部門的負責人，以及信息所有者，一個組織的總的風險依賴於下麵一些屬性：資產的質量（丟失資產的效應）和數量（錢）的價值；基於攻擊的威脅可能性；假如威脅實現，對經營業務的影響。
將資產價值和代價相聯係或決定投資回報（Return On Investment, ROI）的能力經常是困難的。相反，可以確定保護機製的代價。將國家秘密的信息作為極敏感的信息，因為對這些信息的錯誤處理，其結果將危害到國家秘密。比之於商業組織，政府願意花更多的費用來保護信息，直接的定量花費包括更換損壞的設備、恢複後備和硬盤的費用等。由於事故而引起的宕機時間是可測量的，很多金融貿易係統因此而遭受大量經濟損失。生產的降低，例如E-mail服務器宕機，很多組織的工作將停止。
與定量的代價相比，質量的代價對組織的破壞更大。假如用來銷售的Web站點被黑客破壞了，有可能所有客戶的信用卡號被偷，這將嚴重地影響這個站點的信譽。也有可能在短時期內，經營業務停止，風險評估對漏洞和威脅的可能性進行檢查，並考慮事故造成的可能影響。威脅的水平決定於攻擊者的動機、知識和能力。大部分內部人員不大可能使用黑客工具，然而十分熟悉網上的應用，可以刪除文件、引起某些物理損壞，甚至是邏輯炸彈等。

..............................