欢迎来到天天文库
浏览记录
ID:52403901
大小:62.26 KB
页数:4页
时间:2020-03-27
《信息安全风险评估.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、信息安全风险评估一、风险评估概述信息安全风险评估是明确安全现状,规划安全工作,制订安全策略,形成安全解决方案的基础,风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险评估可帮助组织完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,分析业务运作和组织管理方面存在的安全缺陷,评估重要业务应用系统自身存在的安全风险,评价业务安全风险承担能力,并给出风险等级,利用风险评估管理系统扩展评估过程和评估结果,为组织提出建立风险控制建议,有利于组织对信息系统实施风险管理。二、风险评估的要素三、风险评估的标准信息安全风险评估时主要参
2、考如下标准:lBS7799-1(ISO/IEC17799:2005)lISO/IECTR13335l信息技术安全评估公共标准CClAS/NZS4360风险管理标准lNISTSP800-53/60lCOBITlGB/T20984—2007《信息安全技术信息安全风险评估规范》l《信息安全风险评估指南》l……等等四、风险评估的方法1.定制个性化的评估方法虽然已经有许多标准评估方法和流程,但在实践过程中,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测
3、试、边界评估、网络结构评估、脆弱性扫描、管理评估、策略评估、业务系统风险评估等。2.安全整体框架的设计风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。3.多用户决策评估不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行
4、动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。4.敏感性分析由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。五、风险评估的流程安全现状分析报告一、确定评估范围阶段评估范围确定资产评估报告二、资产识别和等级划分阶段资产识别与等级划分安全工具扫描技术脆弱性评估报告三、脆弱性评估阶段人工审计渗透测试管理脆弱性评估报告安全制度审计
5、安全策略评估策略脆弱性评估报告威胁评估报告四、安全威胁评估阶段安全威胁识别与等级划分风险分析报告五、风险分析阶段分析系统风险风险控制策略报告六、风险管理阶段制定风险控制策略安全风险评估报告七、形成最终报告书建立最终风险评估报告六、特点l符合国际、国内、行业的风险评估和管理标准;l涉及IT运维和IT治理的各个层面;l定制化的服务,帮助客户迅速发现信息安全的关键点七、适用范围l需要了解企业安全现状的客户;l当企业进行IT规划设计时l在企业发生计算机安全事件后,或怀疑可能会发生安全事件时;l关心组织现有的信息安全措施是否有效时;l当需要对组织安全状况进行
6、周期性评估,以查看是否满足组织持续运营时。八、用户收益风险评估服务可以帮助客户明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境以及信息安全策略和制度等信息,准确了解企业的网络、系统以及管理的安全现状。全面给出业务系统面临的安全隐患和脆弱性报告,使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。清晰的展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。
此文档下载收益归作者所有