信息安全风险评估实施流程

信息安全风险评估实施流程

ID:26251557

大小:1.10 MB

页数:70页

时间:2018-11-25

信息安全风险评估实施流程_第1页
信息安全风险评估实施流程_第2页
信息安全风险评估实施流程_第3页
信息安全风险评估实施流程_第4页
信息安全风险评估实施流程_第5页
资源描述:

《信息安全风险评估实施流程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章信息安全风险评估实施流程5.1风险评估的准备5.2资产识别5.3脆弱性识别5.4已有安全措施确认5.5风险分析5.6风险处理计划5.7风险评估文件记录5.8本章作业信息安全风险评估实施流程信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定针对性的抵御威胁的防护对策和整改措施以最大限度地保障网络和信息安全提供科学依据。在信息化建设中,各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障,由于其可能存在软硬件

2、设备缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,都将导致不同程度的安全风险。信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患,并为增强安全性提供有效建议,以便采取更加经济、更加有力的安全保障措施,提高信息安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。 信息安全风险评估在具体实施中一般包括风险评估的准备活动,对信息系统资产安全、面临威、存在脆弱性的识别,对已经采取安全措施的确认,对可能存在的信息安全风险的识别等环节。5.1风险评估的准备风险评估的准备是实施风险评估的前提,只有有效地进行了信息安全风险评估准备,才能更好地开展信息安全风险

3、评估。由于实施信息安全风险评估,涉及组织的业务流程、信息安全需求、信息系统规模、信息系统结构等多方面内容,因此开展信息安全风险评估的准备活动,通过确定目标、进行调研、获得组织高层管理者对评估的支持等,对有效实施风险评估是十分必要的。信息安全评估的准备活动包括1.确定风险评估的目标2.确定风险评估的范围3.组建风险评估管理团队和评估实施团队4.进行系统调研5.确定评估依据和方法6.获得最高管理者对风险评估工作的支持5.1.1确定风险评估的目标 首先需要确定风险评估的目标,信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在

4、业务流程中对信息安全等的机密性、可用性、完整性等方面的需求,来确定风险评估的目标。5.1.2确定风险评估的范围 在风险评估前,需要确定风险评估的范围。风险评估的范围,包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。 实施一次风险评估的范围可大可小,需要根据具体评估需求确定,可以对组织全部的信息系统进行评估,也可以仅对关键业务流程进行评估,也可以对组织的关键部门的信息系统进行评估等。5.1.3组建评估管理团队和评估实施团队 在确定风险评估的目标、范围后,需要组建风险评估实施团队,具体执行组织的风险评估。由于风险评估涉及组织管理、业务、信息资产等

5、各个方面,因此风险评估团队中除了信息安全评估人员的参与,以便更好地了解组织信息安全状况,以利于风险评估的实施。5.1.4进行系统调研 在确定了风险评估的目标、范围、团队后,要进行系统调研,并根据系统调研的结果决定评估将采用的评估方法等技术手段。系统调研内容包括:1.组织业务战略2.组织管理制度3.组织主要业务功能和要求4.网络结构、网络环境(包括内部连接和外部连接)5.网络系统边界6.主要的硬、软件7.数据和信息8.系统和数据的敏感性9.系统使用人员10.其他 系统调研方法可以采用问卷调查、现场访谈等方法进行。5.1.5确定评估依据和方法 以系统调研结果为依据,根据被评估信息系统的

6、具体情况,确定风险评估依据和方法。 评估依据包括吸纳有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互连单位的安全要求、组织的信息系统本身的实时性或性能要求等。 根据评估依据,并综合考虑评估的目的、范围时间效果评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。5.1.6获得支持 就以上内容形成较为完整的风险评估实施方案,并报组织最高管理者批准,以获得其对风险评估方案的支持,同时在组织范围就风险评估相关内容对管理者和技术人员进行培训,以明确有关人员在风险评

7、估中的任务。5.2资产识别5.2.1资产分类 风险评估需要对资产的价值进行识别,因为价值不同将导致风险值不同。 而风险评估中资产的价值不是以资产的经济价值来衡量,而是以资产的机密性、完整性、和可用性三个方面属性为基础进行衡量。 资产在机密性、完整性和可用性三个属性上的要求不同,则资产的最终价值也不同。在一个组织中,资产有多种表现形式,同样的两个资产也因属于不同的信息系统而重要性不同。首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。