返回
db32t_1439信息安全风险评估实施规范

db32t_1439信息安全风险评估实施规范

ID:2520851

大小:259.00 KB

页数:26页

时间:2017-11-16

db32t_1439信息安全风险评估实施规范_第1页
db32t_1439信息安全风险评估实施规范_第2页
db32t_1439信息安全风险评估实施规范_第3页
db32t_1439信息安全风险评估实施规范_第4页
db32t_1439信息安全风险评估实施规范_第5页
资源描述:

《db32t_1439信息安全风险评估实施规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、DB32/T××××—××××江苏省质量技术监督局发布2009-10-26实施2009-08-26发布信息安全风险评估实施规范ImplementationspecificationofriskassessmentforinformationsecurityDB32/T1439—2009DB32江苏省地方标准ICS35.040L70备案号:27548-20101DB32/T1439—2009目次前言Ⅱ引 言Ⅲ1范围12规范性引用文件13术语和定义14风险评估实施14.1风险评估准备14.1.1 评估目的14.1.2 确定

2、评估范围14.1.3 建立评估团队14.1.4 前期系统调研14.1.5 确定评估依据14.1.6 制定评估方案14.2资产识别14.2.1 资产识别内容24.2.2 资产赋值24.3威胁识别24.3.1 威胁识别内容24.3.2 威胁赋值24.4脆弱性识别24.4.1 脆弱性识别内容24.4.2 脆弱性识别方式84.4.3 脆弱性赋值84.5已有安全措施确认84.6风险分析84.7风险评估文档记录8附录A(规范性性附录)信息安全风险评估报告10IDB32/T1439—2009前言信息安全风险评估是信息安全保障工作的基

3、础性工作和重要环节,是信息安全等级保护制度建设的重要科学方法之一。本规范依据GB/T1.1—2000《标准化工作导则第1部分:标准的结构和编写规则》和GB/T1.2—2002《标准化工作导则第2部分:标准中规范性技术要素内容的确定方法》编写。本规范附录A为规范性附录。本规范由江苏省信息产业厅提出。本规范起草单位:江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)。本规范起草人:吴兰、张影秋、黄申、薛凤鸣。本规范由江苏省经济和信息化委员会归口。IIIDB32/T1439—2009引 言脆弱性的识别是风险评估最

4、重要的环节,对脆弱性识别的强度、粒度及深度将直接关系到风险评估的准确性、有效性。GB/T20984-2007《信息安全技术信息安全风险评估规范》中对脆弱性的识别只是给出了一个识别内容的框架参考,对具体的识别内容未做详细的规定。此规范是对GB/T20984-2007《信息安全技术信息安全风险评估规范》的细化和补充,本规范的4.2“资产识别”、4.3“威胁识别”、4.6“风险分析”执行的标准是GB/T20984-2007《信息安全技术信息安全风险评估规范》。本规范条款中所指的“风险评估”,其含义均为“信息安全风险评估”。I

5、IIDB32/T1439—2009信息安全风险评估实施技术规范1 范围本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。本规范适用于信息安全风险评估实施技术规范,与GB/T20984-2007配合使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T20984—2007信息

6、安全技术信息安全风险评估规范3 术语和定义GB/T20984—2007确立的术语和定义适用于本标准。4 风险评估实施4.1 风险评估准备4.1.1 评估目的按GB/T20984—2007中5.1.2的规定执行。4.1.2 确定评估范围4.1.2.1在符合GB/T20984-2007中5.1.3的基础上,应包含但不限于信息系统、组织和人员、安全管理与操作实践及地理范围四个方面。4.1.2.2应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。4.1.2.3确定与信息系统相关的组织人员以及相互关系。4.1.2.4

7、确定对信息系统的安全管理与操作实践。4.1.2.5确定涉及信息系统评估的场所。4.1.3 建立评估团队按GB/T20984—2007中5.1.4的规定执行。4.1.4 前期系统调研按GB/T20984—2007中5.1.5的规定执行。4.1.5 确定评估依据按GB/T20984—2007中5.1.6的规定执行。4.1.6 制定评估方案4.1.6.1按GB/T20984—2007中5.1.7制定评估方案。4.1.6.2将风险评估实施方案提交给最高管理者,对涉及评估的组织和人员进行培训,以明确有关人员在风险评估活动中的任务

8、。4.2 资产识别9DB32/T1439—20094.2.1 资产识别内容按GB/T20984—2007中5.2.1的规定进行分类,填写《资产清单》(见表A.1)。识别内容至少包括:a)物理资产和地点;b)网络和逻辑连接;c)软件(操作系统和应用软件等);d)通过网络传送的数据流等。4.2.2 资产赋值按GB/T20984—200

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。