保密风险评估与控制策略69-第3页
上亿文档资料，等你来发现
保密风险评估与控制策略69-3
4.2.3确定隶属度，构建判断矩阵；专家参照评估集对评估因素进行评估，确定指标因素和；几乎所有的综合评估方法的应用都存在一个关键问题，；应用粗糙集理论就是对原始数据进行挖掘，并利用其求；wi?vij/?vij（1）；i?1m；式中，wi表示第i个指标在第j级的权重，m为指标；1.控制点的分级等级的确定；对于每个控制点都有风险概率和风险影响程度两个元素；Ri(
　 4.2.3 确定隶属度，构建判断矩阵专家参照评估集对评估因素进行评估，确定指标因素和评估集之间的对应关系，构造模糊映射V?F?U?，F?U?表示对评价指标的模糊判断。它反映了每一级各评价因素和评估等级之间的关系，也就是判断矩阵Ri。 4.2.4 应用粗糙集理论确定权重几乎所有的综合评估方法的应用都存在一个关键问题，权重的确定问题，模糊综合评估也不例外。目前在多指标综合评估中权重确定方法有数十种之多，根据原始数据来源的不同，这些方法大致可分为两大类：一类为主观赋权法，其原始数据主要由专家根据经验判断得到，如古林法、AHP法、专家调查法等；另一类为客观赋权法：其原始数据由各指标在被评估单位中的实际数据形成，如均方差法、主成份分析法、离差最大化法、组合赋权法等。主观赋权法客观性差，但解释性强。大多数情况下客观赋权法的权值精度较高，但有时会与实际情况相悖，且可说明性较差。由于权重系数的大小直接反映了在模糊综合评判中各评估指标的相对重要程度，因而取值的好坏将直接影响到评估结果的好坏。出于这个考虑，本论文应用粗糙集理论来确定权重，用粗糙集理论构建军队保密风险模糊综合评估模型，即基于粗糙集理论定权的军队保密风险模糊综合评估模型。应用粗糙集理论就是对原始数据进行挖掘，并利用其求得各评估因素的属性重要度，并将其权值化处理作为其权重系数，克服了传统方法确定权重系数的主观性，从而提高模糊综合评判精度。其思想是利用各级的综合评估集重要程度进行权值化处理，最终确定各评估指标在风险模糊综合评估中的权重系数。具体做法是:首先确定评估指标体系中各级的综合评估集；然后计算各风险评估指标的重要程度；最后对求得的属性重要程度进行权值化处理得到各个指标的权重:wi?vij/?vij
（1）i?1m式中，wi表示第i个指标在第j级的权重，m为指标的个数。vij表示第i个指标在第j级的评估值。 4.2.5 建立模型1.控制点的分级等级的确定对于每个控制点都有风险概率和风险影响程度两个元素，我们采用应用粗糙集理论来确定风险概率和风险影响程度两者间的权重，最终得出第四级控制点的判断矩阵Ri(4)。第四级风险指标模糊综合评估：通过专家对每个控制点分别在风险概率rij(4)，(4)，j?1,2,?5 的5个等级上的打分，得出第i个因素的两个j?1,2,?5和风险影响程度sij模糊分级标准V上的判断矩阵Ri(4)，这里(4)表示第四级。R(4)i(4)?Ri(14)??ri1??(4)???(4)?Ri2??si1ri(24)4)si(2ri(34)si(34)ri(44)4)si(4ri(54)?（2） (4)?si5?(4)表示在第四等级中第i个控制点的风险概率落在第p分级标准等级的概率值。 rip(4)表示在第四等级中第i个控制点的风险影响落在第p分级标准等级的概率值。 sipRi(4)为第四级的判断矩阵，表示每个控制点关于分级标准的隶属关系。下面利用前述的粗糙集定权计算各级指标权重的方法来确定军队保密风险评估指标体系中权重向量W??wi1,wi2?，i为指标的个数。(4)ri1wi1?(4)
（3） (4)ri1?si1ri(24)wi2?(4)
（4） 4)ri2?si(2wi1 和wi2分别表示第i个控制点落在第一等级的风险概率权重和风险影响程度权重。则第四级的模糊综合评价集Bi(4)为：Bi(4)?Wi(4)?Ri(4)?bi(14)?bi(24)bi(34)bi(44)bi(54)
（5）?2. 第三级模糊综合评价第三级模糊综合评价也即分别对第三级每个指标进行模糊综合评判。通过第四级得出的Bi(4)，将Bi(4)作为第三级模糊综合评价的子集，可以构造出第三级判断矩阵R(3)。?B1(4)???(3)(4)R?B????
（6）(4)??B26??根据文中的具体风险指标在评价集中的大小，采用应用粗糙集理论确定第三级指标)(3)(3)(3)因素的权重Wj(3)?w(j31,j2,j3?jn，其中j为第三级指标个数n为第四级指标的个数。??需要注意的是，在第三级确定权重时，需要分别确定两个具体风险在不同节点处的权重向量。例如：在确定保密意识风险节点权重时，因为其下只包含风险1、风险2、风险3，只能在风险1、风险2、风险3之间确定权重。则第三级中第j个因素的模糊综合评价为：3)3)B(?Wj(3)?R(3)?b(j1j?)b(j32)b(j33)b(j34)b(j35
（7）?3．第二级和第一级评判如此类似，都是通过上述计算权重的方法得出第二级和第一级各因素的权重，最终确定风险综合评估集B。B??B1,B2,B3,B4,B5?
（8） 分别与第三级和第二级的评估集构成的模糊评估矩阵进行复合运算，得出评价结果，最终完成军队保密风险综合评估。建立军队保密风险评估等级见表4：表4 军队保密风险评估等级B*?ma?xB1,B2,B3,B4,B5?
（9） 进行评估，同时规定如果有多个风险等级的值相同则取较严重的风险等级。根据得出计算出的风险综合评估集B，确定军队保密风险的评估结果。 4.3 构建适合军队保密工作全寿命周期控制策略依据军队保密风险全寿命周期管理的定义，可知道军队保密风险全寿命周期管理是一种先进的管理方法。它有着其自己鲜明的特点：首先，它研究的是保密工作整个寿命周期阶段，以完成保密工作整个寿命周期总成本最小化为目标。其管理的范围囊括了前期策划阶段、运行阶段和报废处理阶段；其次，全寿命周期工程造价管理有寿命周期成本分析和管理两大核心内容，寿命周期成本分析的主要作用是为管理的各个阶段提供决策依据，是方案选择的主要工具。寿命周期成本管理就是在是整个阶段对寿命周期成本动态加以严格控制，以达到寿命周期成本最小化的目标。 4.3.1 阶段划分根据军队保密风险全寿命管理的定义,可以将军队保密工作划分为前期策划阶段（QC）、运行阶段（YC）和报废处理（BC）阶段。图4 军队保密风险全寿命管理的阶段划分图4.3.2 建立规划模型1.成本分析军队保密风险全寿命管理成本来源于对军队保密风险评估指标体系对控制点的评估和管理控制。在每个阶段中，军队保密风险评估指标体系对控制点的操作都会增加保密工作的成本。如图5，军队保密风险全寿命管理的成本是随着全寿命时间的增加不断累加。 图5
军队保密风险全寿命管理的成本累加值和全寿命时间的定量关系由图可知军队保密风险全寿命管理的成本G关系式：G??GiQC??GiYC??GiBC
（10）?G?GQCi为军队保密风险全寿命管理前期策划阶段有效控制点的成本值； 为军队保密风险全寿命管理运行阶段有效控制点的成本； 为军队保密风险全寿命管理报废处理阶段有效控制点的成本。YCi?GBCi2.数学规划模型由于军队保密风险全寿命管理研究的是保密工作的整个寿命周期阶段，以完成保密工作整个寿命周期总成本的最小化为目标。考虑到系统的动态平衡和系统内部各要素的非线性相互作用,是一个相当复杂的理论和实践问题，因此规定成本在每个阶段的综合值为各阶段成本之和，由此可以建立最优方程的目标函数为：minG?f?G??f??GQCi??GiYC??GiBC
（11）?这样通过军队保密风险的全寿命管理控制策略就可以选择出最优的控制策略达到所消耗成本最小。4.4 利用调整系数法改进模型军队保密风险多级模糊评估模型可以评估出某单位当前所存在的危险，但是它不能规避风险，为弥补这个缺点对多级模糊评估模型进行改进。军队保密风险估评直接面向控制点进行控制调整会造成工作量大，并且不分轻重缓急，会做很多无用功，提高保密负荷。因此依据所建立的军队保密风险评估指标体系，可以确定出一个军队保密风险评估等级作为阈值，来判断这一级是否需要控制调整，这样可以按级筛选出引起保密风险的指标，最终确定出引起保密风险综合评估中的危险的控制点，而实际上，这些处于危险的控制点进行调整则可，不需要对所有的控制点进行调整控制。这样就能大大减少工作量。同时也能对所评估的单位提供下一阶段的工作重点，使该单位在降低保密负荷的情况下提高保密能力。1.确定安全阈值根据军队保密风险评估等级可知等级处于3级、4级、5级则该单位相对稳定，而处于1级和2级的控制点则军队保密风险情况不容乐观，需要进行调整。因此，规定安全阈值为3级，低于该安全阈值，则需要调整。也可根据当前形势和领导意图来改变安全阈值。2．确定危险的控制点依据对某单位的保密风险进行评估，得出各级的风险综合评估集。从第二级开始搜索出危险的指标，并对危险的指标所包含的子指标进行判断来确定危险的子指标，直到搜索出所有的危险的控制点为止。3．调整危险的控制点对所确定出的危险控制点进行调整，使其风险概率r和风险影响程度s都能够降低，采用线性关系来衡量所进行调整的效果。则调整后的风险概率r'和风险影响程度s'为：r'?k1?r
（13） 其中k1为对控制点风险概率r的调整系数；k2为对控制点风险影响程度s的调整系数。两个系数代表对风险概率r和风险影响程度s的调整程度，k1和k2大小可以根据工作的需要来调整。4．判断风险评估结果对调整后的风险概率r'和风险影响程度s'再次进行风险评估，对所得出的结果进行判断，看是否满足上级要求的结果。五、对甲单位的实例研究5.1 指标数据的采集根据风险评估的目的和风险因素的特性，常用的指标数据采集方法有：1.问卷调查表是通过问题表的形式，事先将需要了解的问题列举出来，通过相关人员回答有关问题而获取信息的一种有效方式。这种方式具有实施方便、操作简单、所需费用少、分析简捷等特点，所以得到了广泛的应用。但是它的灵活性较小，得到的信息有时不太清楚、具有一定的模糊性等，还需要其他的方法作为配合和补充。2.实地收集是获得真实可靠的指标数据的最重要手段。通过深入现场，亲自参与保密工作的进展，并运用观察、操作等方法直接从实际工作中收集资料和数据。通过这种方法调查收集到的信息能够反映实际情况，因而比较真实、可靠。但是此方法的耗费较高、周期长，而且有些信息因涉及技术机密或是由于其他安全的需要，操作起来有一定的困难和复杂度。3.文档审查文献和档案记录了关于军队保密工作中的许多重要的参数和特性。例如，一个单位的安全和管理策略、制度，能在很大的程度上反映该单位的人员安全意识和管理机制。通过文档和资料的查阅，可以获取较完整的系统信息和历史经验，在风险评估过程中这也是一种十分重要的信息获取方式。 5.2 量化指标数据各个单位就军队保密工作的开展方式不尽相同，根据上述的数据指标的采集方法，包含各类专业文献、幼儿教育、小学教育、外语学习资料、文学作品欣赏、各类资格考试、中学教育、高等教育、专业论文、行业资料、生活休闲娱乐、保密风险评估与控制策略69等内容。　
　　【】　
您可在本站搜索以下内容：
　保密风险评估与控制策略初稿_金融/投资_经管营销_专业资料 暂无评价|0人阅读|0次下载|举报文档 保密风险评估与控制策略初稿_金融/投资_经管营销_专业资料。保密风险...
　访问控制策略管理不当 维护错误 未授权访问资源 原发抵赖 表 1-3 重要文档和...的保密协议 附件三:风险处理计划 根据本次风险评估结果,对不可接受的风险进行...
　”在信息化条件下,做好 保密工作是部队的中心工作之一, 军队保密风险评估是军队... 保密风险评估与控制策略... 2页 1下载券 当前部队保密工作中的“... 3页...
　 依据综合审计日志和信息安全策略准则,在风险评估过程中把最 真实的数据和结果反映出来, 并及时调整信息的安全保密策略,及时补充完善技 术与管理措施,使计算机保持与...
　保密级别:机密 XXX 医药有限公司 风险分析评估方案 第 1 页共 12 页 风险...的风险控制策略,制定纠正和预防措施,对于高风险和中等风险的必须确定 降低风险的...
　“统一”策略管理机制,并对用户单位信息安全体系建设规 划、信息安全管理体系、...(二)服务原则 为保障安全风险评估工作的有序进行,特提出以下原则: 1.保密性...
s　风险评估方法 2.3.1 资产识别 2.3.1.1 资产...保密性赋值根据资产在保密性上的不同要求,将其分为...从网络结构设计、边界保护、外部访问控制策略、内部...
　构建信息安全保密体系 摘要:信息安全保密已经成为当前保密工作的重点。本文从策略...风险评估与分析, 并在系统或网络的运营管理过程中, 经常性地开展保密风险评估 ...
　1、是否对在 SSC 内的用户数据进行保密性保护? 1、将安全控制范围之内的某个...自动完成信息技术 系统的自我安全评估,由此了解系统的安全现状,并提出相对的对策...
赞助商链接
别人正在看什么？
赞助商链接近日，国外几大权威媒体网站、华尔街日报及彭博社均发布报告，确认苹果将在9月9日发布...
国产操作系统最重要的优势是安全，倪光南院士说，微软的操作系统也是不断从市场中收集...
在此背景下，云数据中心应运而生，得到快速发展。通过为客户提供不同于传统数据中心的...
台湾白帽骇客团队HITCON，于台湾时间8月11日清晨六点(美国时间8月10日下午三点)公佈的...
商家提供免费wifi只是为了吸引顾客吗？如果这么想，那就太过单纯了。从WiFi入口，他们...行业分类：
职位分类：
所属行业：-
所在城市：
公司规模：
公司性质：
更新时间：&&
截止时间：该职位已停止招聘
工作地区：
职位性质：不限
学历要求：本科以上学历
工作经验：八年以上
性别要求：不限
招聘人数：
职位月薪：面议
年龄要求：不限
身高要求：不限
语言要求：
职位职能:&投资银行业务职位描述:&风险控制副总经理&（1）&岗位职责&负责分管风险管理部工作，建立和健全风险控制部门管理体系与组织结构；&负责合规部门的管理工作，建立和健全合规部门的管理体系与组织架构；&组织制定风险管理各项制度的规范及流程，搭建风险控制体系，对公司业务项目实施过程和市场风险进行监管；&对公司业务进行动态分析及评估监测，实施风险分析并提出风险控制建议；&推动建立风险评估量化系统、量化风险指标及测量评估模型；&负责建立健全各项经营及风险控制策略、完善公司内部管理制度、业务流程与组织架构，采取有效措施防控风险，保证收益；&负责规划设计对风险进行贷前识别判断、贷中监督检查及贷后处理等的流程并做宏观监督；&参与抽查和了解信贷资金的使用情况，掌握客户资信状况，发现不正常情况并发出预警并提出改进方法与措施。&（2）&任职资格&重点本科及以上学历，金融或审计等相关专业；&熟悉金融市场、产品和内部运作，具有3-5年以上银行或小贷、担保等行业风险管理工作经验；&熟悉金融风险的收集、量化、控制及解释；&了解财政、会计、经济或预算编制工作，能独立完成调研及报告任务；&具备宏微观经济分析能力、较强的前瞻性和原则性；&较强的管理经验和良好的沟通协调能力；&良好的口头表达和沟通。&（3）&薪资范围&薪资构成：基本薪资&年假福利：国家标准社保福利：&国家标准居住福利：公积金&通讯交通：实报实销&中商融互联网络服务有限公司是由商务部中国投资规划工作委员会牵头，为规范目前在各地成立的服务中心的业务操作及目前国内互联网金融的不规范性的操作，由投划委成立面向互联网金融业务的服务、监管的第三方公司。公司作为各地（市）服务中心配套服务机构。总部对各地（市）级服务中心的运营进行政策、规范、模式及制度进行指导、管理和监督。总部为各地（市）级服务中心进行资金托管、支付解决、信息报备管理、资源调配、同业拆借等服务。&注册资金：一亿一千万八百万元&地址：东城区安定门商务部研究院2号楼
求职提醒：国家相关法律规定，招工禁收抵押金及任何费用，如遇此情况请谨防上当！[]
该职位招聘已停止
本公司是一家以会议承办、培训认证、网络宣传为主的专业化服务机构。在长期的项目开展中，我公司与相关部门、科研机构、协会学会、专家学者结下了良好的友谊关系。我公司一直坚持“没有最好，只有更好，&我们一直在努力的”办司理念，以团结、进取、求实、创新的态度；以优质、高效的服务意识积累了大量的客户群体，并得到大家的肯定!&公司以具有现代科技和管理知识的专才为骨干,&以行业精英为主体、以整合知识经济时代生产力的四大要素（人才、资源、创新、知识信息）为基本功能，以提升行业内涵、客户水准为己任
联系电话：此公司已设置保密，请通过系统投递简历
联 系 人：刘老师
传真电话：此公司已设置保密，请通过系统投递简历
公司地址：北京市东城区东安门大街商务部东华门办公区
编：100747
公司网址：
相关职位招聘频道
该企业的推荐师
汇集各行业专家作为数字英才推荐师,帮助网站个人会员(拥有标准简历者)每天监控并推荐适合的职位。
( 注：根据求职者设置的保密程度，对信息严格保密，并且只有会员企业才能看到 )
免费特色服务
1信息资料保密
2免费注册简历
3免费推荐工作
4免费短信通知
5人工推荐+智能匹配
相似职位招聘
相关招聘人才
根据职位搜索招聘信息：
根据城市搜索招聘信息：
根据职位搜索人才简历：
根据城市搜索人才简历：
其他各类招聘：
根据产品搜索招聘信息：
版权所有：
子站分类：& & &
Copyright &
&&人才中介服务许证RC0712292
京公网安备21您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
深圳市信息安全风险评估报告范本.pdf33页
本文档一共被下载：
次 ,您可免费全文在线阅读后下载本文档
文档加载中...广告还剩秒
需要金币：30 &&
深圳市某某局
2008 年信息安全风险评估报告
深圳市某某局
二〇〇八年八月六 日
风险评估结论 I
评估工作概述 1
11 评估范围 1
12 评估组织 2
评估依据和标准 3
资产识别 5
31 资产识别内容和方法 5
重要资产的确定及三性赋值 8
威胁识别 11
脆弱性识别 15
51 脆弱性识别内容及方法 15
52 脆弱性识别结果 15
综合风险分析 19
61 风险分析方法 19
62 风险等级划分 19
63 不可接受风险划分 20
风险分析结果 20
风险统计 26
不可接受风险处理计划 28
风险评估结论
此次风险评估我局确定的评估范围为OA 系统评估共发现信息
安全风险60 个其中极高风险6 个高风险 14 个中风险 1 个低
风险20 个极低风险19 个经分析确定60 个风险中40 个为可以
接受20 个为不可接受
为消除不可接受的风险相应的处理计划如下
1 OA 数据库服务器应用服务器内网管理及病毒服务器将及时
升级系统补丁并强制用户口令强度和更改频率 降低风险
2 OA 应用服务器应启用帐户锁定策略防止非授权访问
3 防火墙及主要的网络设备将启用日志功能 规避抗抵赖的风险
同时还将尽快建立操作规程规范操作过程
4 主要的网络设备将建立访问控制策略规避非授权访问的风险
业务系统的关键网络数据在进行传输时将采取适当的保密措施
并进行完整性校验
核心机房的物理访问控制将建立来访人员登记制度
深圳市某某局 公章
正在加载中，请稍后...当前位置：
索 引 号：
公开范围：
株洲市 统计局 信息网络安全 风险评估 工作方案
所属主题：
公开责任部门：
生效日期：
废止日期：
所属机构：
公开方式：
统一登记号：
信息时效性：
【】【】【