返回
浅谈基于业务的信息安全等级保护风险评估方法

浅谈基于业务的信息安全等级保护风险评估方法

ID:5333701

大小:256.35 KB

页数:6页

时间:2017-12-08

浅谈基于业务的信息安全等级保护风险评估方法_第1页
浅谈基于业务的信息安全等级保护风险评估方法_第2页
浅谈基于业务的信息安全等级保护风险评估方法_第3页
浅谈基于业务的信息安全等级保护风险评估方法_第4页
浅谈基于业务的信息安全等级保护风险评估方法_第5页
资源描述:

《浅谈基于业务的信息安全等级保护风险评估方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、浅谈基于业务的信息安全等级保护风险评估方法文章摘要:文章通过对组织业务进行分析,根据组织的业务识别出重要的资产,提出一种基于业务的信息资产识别和评估方法,为等级保护的定级、测评和整改等工作提供科学的参考依据。1引言伴随着信息技术的发展和信息时代的到来,信息系统在国家的政治、军事和经济领域的广泛应用,整个社会对信息系统的依赖性越来越大,信息系统的安全问题己成为关系经济稳定、发展和国家安全的社会问题。信息安全经历了最初以密码技术为主的信息保密阶段和以防火墙、入侵检测技术为主的信息保护阶段,发展到以综合保护、检测、反应技术为主的信息安全保障时代,而对系统实施安全

2、等级保护、进行风险评估是信息安全保障的重要基础。为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全,构建和谐社会的需要,2007年,全国信息安全标准化委员会正式下达了公安部牵头制定的《信息系统安全保护等级定级指南》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护基本要求》等系列指导标准(审批稿),拉开了全国信息安全等级保护的序幕。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更是一项基础性和制度性的工作。我国的信息安全等级保护制度就是要根据信息系统的特点和风险状况,对信息系统的安全需求进行分级

3、,实施不同级别的保护措施。根据2004年9月四部委联合签发的《关于信息安全等级保护工作的实施意见》的要求,要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。这类系统主要包括:国家事务处理信息系统;财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。因此,我国的信息安全等级保护制度从一定角度看是信息安全保障工作中国家意志的体现,体现了国家对相应系统

4、建设和使用单位在信息安全建设的基本要求。通过评估单位的特点可以看出,其对象主要是重要的行业和企事业单位。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级,所以风险评估是等级保护的重要基础与依据。信息安全风险评估是一个组织确保信息安全的基础和前提,所以注重信息安全风险评估的质量是保证信息安全的基础性工作。信息安全风险评估是对信息系统风险进行辨识和分析的过程,是对威胁、影响、脆弱性三者发生的可能性的评估。目的就是了解目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据指引。文章提出的基于业

5、务的信息资产评估方法试图建立一种适应等级保护的信息安全风险评估方法,为信息安全等级保护工作的开展做好前期风险评估和系统定级工作。2基于业务的信息资产评估流程资产是风险评估的第一要素,其他要素的评估都以资产为前提的。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家底,列出评估范围内关系到信息安全的所有资产。然后整理家底,针对资产的性质进行分类,针对资产的关系进行梳理,针对资产的价值进行分级。这样就为分类分级和适度有效地保护资产打下了良好基础。一个信息系统的安全等级相当于这个信息系统能够承受风险的标签,等级越高

6、,防御力度就越大,控制粒度就越细,安全感就越强,风险就越小,但投入也就越大,反之亦然。所以,如何根据一个组织的真实情况进行定级就显得尤为重要,而所有这些问题的基础都是围绕资产识别展开的。在任何一个组织中,信息安全的目的始终都是用来保障组织业务的正常运行。因此本文在资产的识别过程中试图将组织的业务安全这个潜在的抽象概念映射成资产的安全这个可以定性和定量测量评估的概念上来,从而能够科学地把握组织的业务安全需求及其变化。信息资产评估流程图如图l所示。3基于业务的信息资产识别方法对于任何一个组织和机构而言,安全的目的始终都是保障组织业务的正常运行。因此,资产识别过

7、程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析。我们将组织的业务安全映射成资产的安全,使得我们能够科学地把握组织的业务安全需求及其变化。基于业务的信息资产识别方法,第一步就是要全面掌握受评单位的各项业务,要了解把握组织业务的类别、分布,组织的关键业务和附属业务。我们可以通过以下方法和途径全面了解掌握组织的业务:首先,仔细分析受评单位信息化建设的有关文档,比如《信息化发展战略书》、《信息化建设实施计划》、《信息化建设实施方案》等,通过这些文档,我们可以大体了解该组织的战略规划、建设目标、组织结构等大量翔实的信息,从中可以凝练出被评估

8、单位的业务战略;其次,通过与受评单位分管信息化建设相关领导和工作人

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。