信息安全风险管理理论来源于信息安全实践 (-)、20世纪60年代至80年代是信息安全风险管 理 实践与理论发展的初期阶段 (二)、20世纪80年代末至90年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 (三)、20世纪90年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管 理 实践与理论发展的初期阶段 (二)、20世纪80年代末至90年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 (三)、20世纪90年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 20世纪60年代,随着资源共享计算机系统和 早期计算机网络的出现,计算机安全问题初步显露。 1967年秋,美国国防部托兰德公司为首的多个研 究机构和企业,进行了美国历史上第一次大规模的 计算机安全风险评估,历时三年。1970年初出版了 个长达数百页的机密报告《计算机安全控制》。 该报告奠定了国际安全风险评估的理论基础
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 20世纪60年代,随着资源共享计算机系统和 早期计算机网络的出现,计算机安全问题初步显露。 1967年秋,美国国防部委托兰德公司为首的多个研 究机构和企业,进行了美国历史上第一次大规模的 计算机安全风险评估,历时三年。1970年初出版了 一个长达数百页的机密报告《计算机安全控制》。 该报告奠定了国际安全风险评估的理论基础
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风 险管理及相关的安全评测标准。其中: 第一组标准是由国家标准局(NBS)制定的,如: FIPS PUB31自动数据处理系统物理安全和风险管 理指南(1974年)。 FIPS PUB65自动数据处理系统风险分析指南 (1979年)
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风 险管理及相关的安全评测标准。其中: 第一组标准是由国家标准局(NBS)制定的,如: FIPS PUB 31自动数据处理系统物理安全和风险管 理指南(1974年)。 FIPS PUB 65自动数据处理系统风险分析指南 (1979年)
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 第二组是由美国国防部国家安全局于1983年后 陆续制定的计算机系统安全评估系列标准,主要包 括《可信计算机系统安全评估准则》( TCSEC)、 《可信网络解释》(TNI)、《特定环境下的安全 需求》等等,总计约40来个各类标准。由于每个标 准用不同颜色的封皮,俗称为“彩虹系列
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 第二组是由美国国防部国家安全局于1983年后 陆续制定的计算机系统安全评估系列标准,主要包 括《可信计算机系统安全评估准则》(TCSEC)、 《可信网络解释》(TNI)、《特定环境下的安全 需求》等等,总计约40来个各类标准。由于每个标 准用不同颜色的封皮,俗称为“彩虹系列”
信息安全风险管理理论来源于信息安全实践 ()、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列 中《安全需求技术原理》标准指出:“评估一个计 算机系统的安全级别依赖于该系统存在的风险水平 即风险因子( RISK INDEX)”,“还存在影响安 全风险的其他诸如任务关键性、所需拒绝服务保护 和威胁的严重性等因素
一、信息安全风险管理理论来源于信息安全实践 (一)、20世纪60年代至80年代是信息安全风险管理实践 与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列 中《安全需求技术原理》标准指出:“评估一个计 算机系统的安全级别依赖于该系统存在的风险水平, 即风险因子(RISK INDEX)” , “还存在影响安 全风险的其他诸如任务关键性、所需拒绝服务保护 和威胁的严重性等因素