返回
风险评估实施计划方案

风险评估实施计划方案

ID:35966905

大小:485.00 KB

页数:12页

时间:2019-04-28

风险评估实施计划方案_第1页
风险评估实施计划方案_第2页
风险评估实施计划方案_第3页
风险评估实施计划方案_第4页
风险评估实施计划方案_第5页
资源描述:

《风险评估实施计划方案》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、一、风险评估概述1、风险服务的重要性对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其他安全策略的必要前提。近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。安全是整体的体系建设过程,根据安全的木桶原理,组织

2、网络的整个安全最大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。2、风险评估服务的目的及其意义信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程

3、。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。3、风险评估服务机制在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估:l在设计规划或升级新的信息系统时;l给目前的信息系统增加新应用时;l在与其他组织(部门)进行网络互联时;l在技术平台进行大规模更新(例如,从Linux系统移植到Sliaris系统)时;l在发生计算机安全事件之后,或怀疑可能会发

4、生安全事件时;l关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时;l在组织具有结构变动(例如:组织合并)时:l在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满足组织持续运营需要时等。4、风险评估服务的收益l风险评估可以帮助客户:l准确了解租住的信息安全现状;l明晰组织的信息安全需求;l制定组织信息系统的安全策略和风险解决方案;l指导组织未来的信息安全建设和投入;l建立组织自身的信息安全管理框架。二、风险评估服务介绍本公司遵循公认的ISO27001、GB/T20984-2007信息安全风险评估规范以及国际信息安全等级保护指南等安全标准知道风

5、险评估的工作,针对资产重要程度分别提供不同的频率和方式的风险评估,帮助客户了解客观真实的自身网络系统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策略来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度,从而全面完整的解决可能存在的各种风险隐患。1、风险评估服务遵循标准在整个评估过程中,本公司遵循和参照最新、最权威的信息安全标准,作为评估实施的依据。这些安全标准包括:安全技术标准:lGB17859:计算机信息系统安全保护等级划分准则lGB18336(ISO15408):信息技术-安全技术-信息技术风险评估准则(等同于Commo

6、nCriteriaforInformationTechnologySecurityEvaluationV1.2,简称CCV1.2)lCVE:CommonVulnerabilities&Exposures,通用脆弱性标准。CVE是个行业标准,为每个漏洞和弱点确定了惟一的名称和标准化的描述,可以称为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准安全管理标准:lISO/IEC27001:2005InformationTechnology-Securitytechniques-Informationsecuritymanagementsystems-Requireme

7、nts,信息技术-安全技术-信息安全管理体系要求lISO/IEC27005:2008InformationTechnology-Securityechniques-Informationsecurityriskmanagement,信息技术-安全技术-信息安全风险管理lGB/T22239-2008信息安全技术信息系统安全等级保护基本要求l信息安全等级保护信息系统安全管理要求(送审稿)lISO13335,信息技术-安全技术-IT安全管理指南lGB/Z243642009信息安全技术信息安全风险管理指南风险评估实施方法:lGB/T20984-2007:信息安全风险评估规

8、范(最新国

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。