返回
YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf

YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf

ID:184349

大小:477.78 KB

页数:15页

时间:2017-06-29

YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf_第1页
YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf_第2页
YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf_第3页
YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf_第4页
YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf_第5页
资源描述:

《YDT2252-2011网络与信息安全风险评估服务能力评估方法.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ICS33.040M21Y口中华人民共和国通信行业标准网络与信息安全风险评估服务能力评估方法Evaluationcdteriaofservicecapabilityfornetworkandinformationsecurityriskassessment中华人民共和国工业和信息化部发布标准分享网www.bzfxw.com免费下载目次前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯II1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12规范性引用文件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯

2、⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯I3术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯14概j盎⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯25风险评估提供者基本能力要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯26信息安全风险评估服务过程要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯37信息安全风险评估服务能力分级评价要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯lO8评价要求⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯

3、⋯⋯⋯⋯⋯⋯⋯⋯11参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12标准分享网www.bzfxw.com免费下载刖昌YD厂r2252—2011本标准与YD/T1621-2007‘网络与信息安全服务资质评估准则>保持一致。本标准由中国通信标准化协会提出并归口。本标准起草单位:国家计算机网络应急技术处理协调中心、清华大学、北京启明星辰信息技术有限公司、北京神州绿盟科技有限公司。本标准主要起草人:舒敏、陈晓桦、叶红、翟亚红、曹亚斌、孙东红、禄凯、何清林、黄元飞、王红虹、王红阳、陈彪、姚伟栋。Ⅱ标准分享网www.bzfxw

4、.com免费下载网络与信息安全风险评估服务能力评估方法1范围本标准规定了网络与信息安全风险评估服务提供者应具备的服务能力要求,以及对信息安全风险评估服务提供者进行评价的要求。本标准适用于对网络与信息安全风险评估服务提供者的服务能力评价,可作为信息系统所有者选择信息安全风险评估服务提供者的依据,及有关主管部门对信息安全风险评估服务提供者进行管理的技术性规范,也可为信息安全风险评估服务提供者改进自身服务能力提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所

5、有的修改单)适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB/T20984信息安全技术信息安全风险评估规范3术语和定义GB[r5271.8‘信息技术词汇第8部分:安全》、GB/r20984‘信息安全技术信息安全风险评估规范》中的术语和定义及以下术语和定义适用于本文件。3.1风险处置RiskTreatment对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。3.2信息安全风险评估InformationSecudtyRiskAssessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完

6、整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。从风险管理角度。运用科学的方法和手段。系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。3.3信息安全风险评估服务提供者InformationSecurityRiskAssessmentServiceProvider具备一定的风险评估能力,按照合同或协议。为信息系统所有者提供信息安全风险评估服务的组织。标准分

7、享网www.bzfxw.com免费下载YD厂r225争嘤0114概述4.1信息安全风险评估服务概述信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。风险评估服务提供者通过对信息系统提供风险评估服务。系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。信息安全风险评估服务能力等级是衡量风险评估服务提供者服务能力的尺度。能力等级分为一级、二级,三级

8、共三个等级,其中一级最高,三级最低。在本标准中,信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。