返回
基于等级保护标准的信息安全风险评估方法

基于等级保护标准的信息安全风险评估方法

ID:28144637

大小:17.97 KB

页数:5页

时间:2018-12-08

基于等级保护标准的信息安全风险评估方法_第1页
基于等级保护标准的信息安全风险评估方法_第2页
基于等级保护标准的信息安全风险评估方法_第3页
基于等级保护标准的信息安全风险评估方法_第4页
基于等级保护标准的信息安全风险评估方法_第5页
资源描述:

《基于等级保护标准的信息安全风险评估方法》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。基于等级保护标准的信息安全风险评估方法  摘要本文对某大型集团企业为有效提高信息安全的整体水平和安全管控效率,如何基于我国信息安全等级保护标准进行信息安全风险评估活动,进行了具体的分析和研究,总结归纳了该企业在日常信息安全管理工作中的等级保护和信息安全管理体系系列活动,通过效果评估确定等级保护标准已完全融入了该企业的日常信息安全风险评估活动,并发挥了关键作用。

2、  【关键词】信息安全信息系统等级保护风险评估  信息安全等级保护作为我国信息安全方面重要的标准,与其他国际标准相比,更加符合我国的信息安全管理需求。信息系统安全等级保护是以信息系统是否符合等级保护基本要求为目的,从技术要求和管理要求两个方面着手对信息系统安全实行等级化保护和等级化管理,信息安全等级保�o的核心是对信息系统特别是对业务应用系统的信息安全分等级、按标准进行建设、管理和监督。为了充分发挥“教学点数字教育资源全覆盖”项目设备的作用,我们不仅把资源运用于课堂教学,还利用系统的特色栏目开展课外活动,对学生进行安全教育、健康教育、

3、反邪教教育等丰富学生的课余文化生活。为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。  同时,信息安全风险评估也是信息安全管理的一项重要活动,信息安全风险评估以PDCA循环持续推进信息安全风险管理为目的,以信息安全建设为出发点,通过对用户关心的重要信息资产的安全威胁发生的可能性及严重性进行分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要信息资产当前的安全风险,并根据风险的

4、严重级别制定风险处置计划,确定下一步的安全需求方向。  信息安全等级保护是标准和体系,信息安全风险评估是等级保护的出发点和针对性的手段。信息安全风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产价值的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。因此,如何信息安全风险评估如何与等级保护标准有效结合,是信息化安全工作的一项重要命题。为了充分发挥“教学点数字教育资源全覆盖”项目设备的作用,我们不仅把资源运用于课堂教学,还利用系统的特色栏目开展课外

5、活动,对学生进行安全教育、健康教育、反邪教教育等丰富学生的课余文化生活。为了确保“教学点数字教育资源全覆盖”项目设备正常使用,我校做到安装、教师培训同步进行。设备安装到位后,中心校组织各学点管理人员统一到县教师进修学校进行培训,熟悉系统的使用和维护。  某大型集团企业作为国资委直属企业,近几年来,随着信息化程度的不断提升,信息系统的安全管控工作愈发重要。为此,该企业在公安机关的指导监督下已连续四年开展了信息安全等级保护工作,信息安全等级保护能力与水平已得到有效提高。同时,该企业也根据ISO27001建立了信息安全管理体系,并按照体系要

6、求定期开展信息安全风险评估活动,保障信息资产安全。为更有效的提高企业信息安全整体水平和安全管控效率,该企业通过制定评估标准,开展了将信息安全风险评估和信息安全等级保护标准融合在日常信息安全风险评估的活动中,使得企业能够在满足等级保护基本要求的前提下,使风险评估活动更加符合企业个性化的信息安全需求,取得了更为良好的评估和保护效果。  1风险评估常用方法介绍  ISO/IEC13335-3:1998《IT安全管理技术》中将信息安全风险评估方法分为四类,包括基线方法、非正式方法、详细风险分析和综合方法。各类安全风险评估方法的形成都来源于对安

7、全风险评估过程的解读,在信息安全管理行业实践方面,如何保障信息资产安全是信息安全管理的核心思想。目前国内外有不少关于风险评估方面的标准和指南,其中国内的GBT20984-XX《信息安全技术信息安全风险评估规范》较为完整的介绍了风险评估过程,主要评估阶段如图1所示。  第一阶段:资产的识别和估值阶段,调查并了解企业信息系统业务的流程和运行环境,确定评估范围的边界,对评估范围内的所有资产进行识别,调查信息资产一旦被破坏后可能造成的影响大小,并根据影响的大小为资产进行赋值。  第二阶段:安全威胁评估阶段,即根据各类信息资产的特点,评估资产所

8、面临的各种威胁发生的可能性。  第三阶段:脆弱性评估阶段,包括从技术、管理、策略方面进行脆弱程度检查,特别是技术方面,采用系统扫描和手动抽查等手段进行有效评估。  第四阶段:风险的分析阶段,即通过分析上面所评估的数据,进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。