管理对象:包括人在内的信息相关资产
管理组成:人员、目标、规则、过程
反映业务目标的保障
组织整体组成部分
信息安全技术的融合剂
预防,组织或减少事件发生
对内、对外管控
攻击和防护严重不对称,攻击很容易,防护成功极为困难
木桶原理,安全水平取决于防护最薄弱地带
狭义的,ISO270001标准定义的ISMS,最新版是ISO/IEC 27001:2012版
建立和执行简单,难以和其他体系和管理形成一体化
广义的,管理包括各体系集合,建立难度大,控制严格
常见的COSO、ISO31000、COBIT模型
风险识别、评估、优化,最小化检测和控制不良事件的可能性机影响,最大限度实现业务
保障是预防为主的思想
美国反虚假报告委员会缩写,主要是控环活评通监5项,适用很多地方,财务审计和战略常用模型
包括四类风险:战略、运营、报告、合规风险(宏观层,具体执行层,评价结果,法规层)
<