項(xiàng)目介紹
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。
風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可能性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值判斷安全事件一旦發(fā)生對(duì)組織造成的影響。
通過(guò)對(duì)被測(cè)業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定系統(tǒng)威脅來(lái)源及脆弱性,識(shí)別系統(tǒng)面臨的風(fēng)險(xiǎn),并根據(jù)評(píng)估結(jié)果,實(shí)施相應(yīng)措施降低系統(tǒng)風(fēng)險(xiǎn),從而達(dá)到提高業(yè)務(wù)系統(tǒng)安全性的目的。
測(cè)評(píng)范圍
風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu),也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。
在確定評(píng)估范圍時(shí),需結(jié)合已確定的評(píng)估目標(biāo)和組織的實(shí)際信息系統(tǒng)建設(shè)情況,合理定義評(píng)估對(duì)象和評(píng)估范圍邊界,可參考以下依據(jù)作為評(píng)估范圍邊界劃分的劃分原則:
(1) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界;
(2) 網(wǎng)絡(luò)邊界;
(3) 物理環(huán)境邊界;
(4) 組織管理權(quán)限邊界。
測(cè)評(píng)依據(jù)
主要測(cè)評(píng)依據(jù)(以下標(biāo)準(zhǔn)均為最新版本適用):
1、GB/T 20274 《信息系統(tǒng)安全保障評(píng)估框架》系列標(biāo)準(zhǔn)
2、GB/T 20984 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
3、GB/T 18336 《信息技術(shù) 技術(shù)安全 信息技術(shù)安全評(píng)估準(zhǔn)則》系列標(biāo)準(zhǔn)
項(xiàng)目流程
信息安全風(fēng)險(xiǎn)評(píng)估主要包括評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估文件記錄七個(gè)階段,具體實(shí)施流程如下圖所示:
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信