信息安全风险评估规范
信息安全风险评估管理规程
信息安全风险评估管理规程一、背景和目的为了保护组织的信息资产不受到未经授权的访问、使用、披露、修改、破坏、丢失等风险的影响,制定本规程旨在确保对信息安全风险进行全面、系统、科学的评估和管理,以减少信息安全风险对组织带来的损害。
二、适用范围本规程适用于组织内的所有信息系统、网络设备和相关人员,包括但不限于网络、服务器、数据库、应用系统等。
三、定义和术语1. 信息安全风险评估:根据信息资产的价值、威胁与漏洞,结合相关安全措施,对潜在的安全风险进行分析、评估、量化和评级的过程。
2. 信息资产:组织拥有的用于处理、存储和传输信息的任何设备、系统和资源。
3. 威胁:指不同的人、事物、事件,对信息资产带来潜在危害的可能性。
4. 漏洞:指存在于信息系统中的弱点或缺陷,可能导致安全事件的发生。
四、评估方法和流程1. 确定评估范围:明确评估的对象,包括信息系统、网络设备等。
2. 收集信息:收集与评估对象相关的信息,包括资产分布、威胁情报、漏洞信息等。
3. 确定评估指标:根据信息资产的重要性、威胁的可能性和影响程度,确定评估指标,如资产价值、威胁等级、漏洞严重程度等。
4. 进行威胁分析:分析威胁的潜在影响和可能性,评估对信息资产的威胁级别。
5. 进行漏洞分析:分析漏洞的严重程度和可能被利用的风险,评估漏洞的危害程度。
6. 进行风险评估:综合考虑威胁和漏洞的评估结果,对信息安全风险进行评估和量化。
7. 评估报告编写:编写评估报告,包括风险评估结果、风险等级、建议的安全措施等内容。
8. 安全措施实施:根据评估报告中的建议,制定相应的安全措施并加以实施。
9. 监测与反馈:定期进行风险评估,监测措施的有效性,并根据需要及时调整和改进。
五、责任和权限1. 信息安全部门负责组织、协调和实施信息安全风险评估工作。
2. 各部门应配合信息安全部门进行评估相关的信息收集和数据提供工作。
3. 信息安全部门有权对评估结果进行保密,并及时向管理层报告风险状况和建议的安全措施。
信息安全风险评估规范
信息安全风险评估规范信息安全风险评估规范一、概述信息安全风险评估是指对组织的信息系统、网络和数据进行全面的安全风险分析和评估,以确定系统中存在的潜在威胁和漏洞,并提供相应的改进和强化措施。
本规范旨在建立一个全面、科学、规范的信息安全风险评估流程,以保护组织的信息资产和系统安全。
二、风险评估的目标1. 分析识别组织信息系统、网络和数据上的潜在威胁和风险。
2. 构建一个可靠的风险度量方法,便于比较不同风险等级的风险。
3. 提供相应的安全建议和措施,减轻风险对组织的影响。
三、风险评估的流程1. 系统审查:对目标系统的结构和运行方式进行全面分析,包括系统架构、网络拓扑、系统功能等方面。
2. 风险识别:通过对系统进行漏洞扫描、弱口令检测、网络流量分析等手段,识别系统中存在的潜在威胁和风险。
3. 风险度量:对识别出的风险进行评估和分类,确定风险的可能性和影响程度。
4. 风险评估报告:编制风险评估报告,对识别和评估的风险进行详细描述和分析,提出相应的建议和措施。
5. 风险控制:根据评估报告中的建议,制定相应的风险控制计划,对系统进行加固和改进。
四、风险度量方法1. 概率分析:通过历史数据和经验分析,计算风险事件的发生概率。
2. 影响分析:对风险事件的可能损失进行评估,包括财务损失、声誉损失、法律风险等方面。
3. 风险评级:根据概率和影响的评估结果,对风险进行相应的评级,如低风险、中风险、高风险等。
五、风险评估报告内容1. 风险概述:对系统风险的整体情况进行概括描述。
2. 风险识别和评估:详细描述识别到的风险和对其进行的评估,包括潜在威胁、可能性、影响等方面。
3. 安全建议和措施:针对每个风险提出相应的建议和措施,包括漏洞修补、访问控制加强、安全培训等方面。
4. 风险控制计划:制定风险控制计划,明确改进措施和责任人,确保风险的有效管理和控制。
六、风险评估的周期性1. 定期评估:根据组织的实际情况,制定定期的风险评估计划,进行信息系统和网络的安全风险评估。
国家标准 信息安全风险评估规范
中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A (资料性附录)风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B (资料性附录)风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言(略)IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。
运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全风险评估与处理规范
信息安全风险评估与处理规范一、引言随着信息技术的快速发展,信息安全面临着越来越多的威胁与风险。
为了保护信息系统的安全与可靠运行,确保敏感信息的保密性、完整性和可用性,信息安全风险评估与处理成为了至关重要的工作。
本文将介绍信息安全风险评估与处理的规范与方法。
二、信息安全风险评估1. 信息安全风险评估的概念信息安全风险评估是指对信息系统中存在的潜在威胁和可能损害的情况进行量化评估和分析,确定风险等级,为制定安全防护策略和措施提供依据。
2. 信息安全风险评估的步骤(1)确定评估目标:明确评估范围和目标,包括评估的系统、网络、数据等要素。
(2)风险识别:通过调查、访谈、检查等方式,确定可能存在的风险源。
(3)风险分析与评估:对识别出的风险进行分析和评估,包括潜在损失的大小、风险的概率等。
(4)确定风险等级:根据评估结果,对不同风险进行等级划分,为后续的处理提供依据。
(5)编制评估报告:撰写详细的评估报告,包括风险描述、评估结果、风险等级分析等内容。
三、信息安全风险处理1. 信息安全风险处理的原则(1)防范优先:通过采取各种措施,降低风险的产生概率。
(2)综合治理:采取综合的安全防护策略,包括技术、管理和人员方面的措施,全面提高信息系统的安全性。
(3)动态管理:随时关注信息系统的安全状况,及时调整策略和措施。
2. 信息安全风险处理的具体方法(1)风险避免:通过移除潜在风险源或改变系统结构来避免风险的发生。
(2)风险减轻:采取措施减少风险的损害程度,如备份数据、建立灾难恢复机制等。
(3)风险转移:将部分风险转移给他方,如购买保险等方式。
(4)风险控制:通过合理的权限管理、访问控制等措施,控制风险的范围和影响。
四、信息安全风险评估与处理的重要性1. 保护用户隐私:信息安全风险评估与处理能有效保护个人信息和敏感数据的安全,防止用户隐私泄露。
2. 维护企业声誉:及时评估和处理信息安全风险,能够避免信息系统遭受攻击或数据泄露,维护企业声誉和客户信任。
信息安全风险评估规范
信息安全风险评估规范
信息安全风险评估是指对组织的信息系统进行系统性评估,以识别并评估可能的信息安全威胁和漏洞,进而制定相应的风险管理措施。
信息安全风险评估规范是指在进行信息安全风险评估时应遵循的规范和标准。
信息安全风险评估规范主要包括以下内容:
1. 评估范围的确定:确定评估的对象、评估的目标和评估的范围。
评估对象可以是整个系统或者特定的子系统,评估目标可以是发现系统中的漏洞和威胁,评估范围可以是整个系统或特定的组件。
2. 风险辨识:对系统中的潜在威胁进行辨识和分类,包括人为因素、物理因素、技术因素等。
通过对系统进行全面的辨识可以识别出可能的风险。
3. 风险评估:对辨识出的风险进行评估,包括风险的概率和影响程度等。
通过评估可以确定哪些风险最为重要和紧迫,以便制定相应的风险管理措施。
4. 风险处理:对评估出的风险进行处理和管理,包括风险的防范、控制和应对等。
通过制定相应的措施和方案来降低风险,并及时应对风险事件的发生。
5. 风险监控:对已处理的风险进行监控和跟踪,确保风险管理措施的有效性和持续性。
同时也应定期对系统进行再评估,以
识别新的风险并及时进行处理。
6. 报告和记录:对风险评估的结果进行报告和记录,包括评估的方法、结果和相应的措施等。
通过报告和记录可以提供给相关部门和人员作为参考和依据。
信息安全风险评估规范的制定可以帮助组织全面了解信息系统的安全状况,及时发现和处理潜在的安全风险,提高信息系统的安全性。
同时也可以为组织提供重要的参考和依据,指导信息安全管理和决策。
因此,遵循信息安全风险评估规范是保障信息系统安全的重要措施之一。
教育机构信息安全风险评估与应对管理标准规范
教育机构信息安全风险评估与应对管理标准规范一、引言信息安全在现代社会中日益重要,特别是对于教育机构而言。
教育机构拥有大量的学生、教职员工以及敏感数据,如学生个人信息和考试成绩等。
因此,为了保护这些信息不受到未经授权的访问、泄露、篡改和破坏,教育机构需要进行信息安全风险评估,并制定相应的应对管理标准规范。
二、信息安全风险评估1. 建立信息安全风险评估团队:组建信息安全专家、IT人员、各部门代表等组成的多学科团队,负责评估机构的信息安全风险。
2. 确定评估范围:明确评估的对象,包括人员、设施、网络、系统和数据等。
3. 收集信息:收集与机构信息安全相关的文档、政策、制度和技术资料等。
4. 识别风险:通过对现有系统和流程的分析,识别潜在的风险点和威胁。
5. 评估风险等级:将识别到的风险进行定级,确定其对机构信息安全的威胁程度。
6. 制定整改措施:针对每个风险等级,制定相应的整改措施和时间表。
7. 评估结果报告:将信息安全风险评估的结果以报告的形式进行总结和分析,并提出改进建议。
三、信息安全管理标准规范1. 信息安全政策:建立明确的信息安全政策,包括机构的信息安全目标、责任分工、风险管理和安全培训等内容。
2. 组织和人员安全:确保机构内部对信息安全有足够的认识,并制定相应的安全管理制度。
同时,对员工进行信息安全培训,加强信息安全意识。
3. 访问控制:建立严格的身份认证和授权机制,限制不同层级的用户仅能访问其需要的信息。
同时,规定禁止共享、泄露和篡改敏感数据的行为。
4. 系统开发与维护安全:对系统的开发过程进行安全评估,并建立相应的代码审查和测试机制,确保系统的安全性。
5. 信息传输安全:采取加密技术,保证数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。
6. 物理环境安全:保护服务器、存储设备和网络设备等物理设备的安全,防止物理攻击和意外损坏。
7. 信息安全事件管理:建立信息安全事件应急预案,及时应对和处理信息安全事件,并进行事后的分析和改进。
信息安全风险评估规范
信息安全风险评估规范信息安全是当今社会中不可或缺的组成部分,而信息安全风险评估则是确保信息安全的重要环节。
本文将介绍信息安全风险评估的规范,以确保评估的准确性和有效性。
一、背景介绍随着信息技术的快速发展和广泛应用,信息安全问题日益凸显。
为了保护信息系统、网络和数据的完整性、可用性和保密性,信息安全风险评估应运而生。
信息安全风险评估是一种全面、系统评估信息系统及其相关成果的安全风险程度的方法。
二、目的和原则信息安全风险评估的主要目的是帮助组织识别、量化和处理信息安全风险,为信息安全管理和决策提供科学依据。
在进行信息安全风险评估时,应遵循以下原则:1. 全面性原则:评估应考虑所有信息系统组成部分的风险。
2. 可行性原则:评估应基于可行的数据和信息。
3. 风险导向原则:评估应该关注重要风险和脆弱性。
4. 及时性原则:评估应随着信息系统的变化和演化进行更新。
5. 可重复性原则:评估应基于可重复的过程和方法。
三、评估过程信息安全风险评估通常包括以下步骤:1. 确定评估范围:明确评估的目标、范围和评估对象,包括信息系统、网络、数据等。
2. 收集信息:通过调查、采访和检查等方式收集与评估对象相关的信息。
3. 风险识别:通过对系统进行分析和检测,识别潜在风险和脆弱性。
4. 风险分析:评估识别到的风险的潜在影响和可能性。
5. 风险评估:根据风险分析的结果,评估风险的严重性和紧急性。
6. 风险处理:针对评估结果制定风险处理策略和措施。
7. 监控和审计:对已实施的风险处理措施进行监控和审计,并进行反馈和改进。
四、输出结果信息安全风险评估的最终输出应包括以下内容:1. 评估报告:详细阐述评估所得到的风险信息、分析结果和评估结论。
2. 风险等级:对评估结果进行分级,确定不同风险的优先级。
3. 处理建议:根据评估结果提出相应的风险处理措施和建议。
4. 监控计划:制定监控风险处理措施的计划,并明确监控指标和频率。
5. 改进措施:根据评估结果总结经验教训,提出改进信息安全的措施。
信息安全风险评估规定
信息安全风险评估规定
信息安全风险评估是指对组织的信息系统进行全面的评估,分析其存在的安全风险,并为其安全风险制定相应的管理措施和对策的过程。
为确保信息系统的安全性,许多国家和组织都制定了相应的信息安全风险评估规定。
下面是一些常见的信息安全风险评估规定:
1. ISO/IEC 27005:这是国际标准化组织和国际电工委员会联合制定的信息安全风险评估标准。
该标准指导组织在评估信息安全风险方面的方法、原则和过程。
2. NIST SP 800-30:这是美国国家标准与技术研究院(NIST)制定的信息安全风险评估指南。
该指南提供了一种结构化的方法,帮助组织评估其信息系统的安全风险。
3. 中国GB/T 20986-2007:这是中国国家标准化管理委员会制定的信息安全风险评估标准。
该标准规定了信息安全风险评估的任务、目的、方法和报告。
4. PCI DSS:这是为支付卡行业制定的一组数据安全标准,规定了组织必须采取的安全措施,以保护持卡人的信息安全。
PCI DSS要求组织进行定期的安全风险评估。
5. HIPAA:这是美国健康保险可移植性与责任法案规定的信息安全和隐私要求。
HIPAA要求医疗保健机构进行安全风险评估,并采取相应的措施保护患者的健康信息。
这些规定和标准提供了评估信息安全风险的方法、步骤和要求,帮助组织有效地评估和管理其信息系统的安全风险。
根据组织的具体需求和行业要求,可以选择适合的评估方法和标准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
准备检查工具 M+N检测模式 M
物 理 脆 弱 性 检 测 网 络 脆 弱 性 检 测
脆弱性检测 N 深度检测
管 理 脆 弱 性 检 测 密 码 脆 弱 性 检 测 木 马 检 测 网 络 渗 透 验 证
常规检测
系 统 脆 弱 性 检 测 应 用 脆 弱 性 检 测
特殊检测
无 线 网 络 检 测 电 磁 频 谱 检 测
什么是信息系统的安全风险
信息系统的安全风险,是由来自人为的与 自然的威胁利用系统存在的脆弱性造成的安 全事件发生的可能性及其可能造成的影响。
什么是信息安全风险评估
为什么存在信息安全风险
人们的认识能力和实践能力是有局限性的, 因此,信息系统存在脆弱性是不可避免的。 信息系统的价值及其存在的脆弱性,使信息 系统在现实环境中,总要面临各种人为与自 然的威胁,存在安全风险也是必然的。 依据国家有关的政策法规及信息技术标准, 对信息系统及由其处理、传输和存储的信息 的保密性、完整性和可用性等安全属性进行 科学、公正的综合评估的活动过程。它要评 估信息系统的脆弱性、信息系统面临的威胁 以及脆弱性被威胁源利用后所产生的实际负 面影响,并根据安全事件发生的可能性和负 面影响的程度来识别信息系统的安全风险。
风险评估是“一种度量信息安全状况的科 学方法”,通过对网络和信息系统潜在风 险要素的识别、分析、评价,发现网络和 信息系统的安全风险,通过安全加固,使 高风险降低到可接受的水平,从而提高信 息安全风险管理的水平。
信息安全风险评估是分析确定风险的过程 信息安全风险评估是信息安全建设的起点和基 础 信息安全风险评估是信息安全建设和管理的科 学方法 风险评估实际上是在倡导一种适度安全 重视风险评估是信息化发达国家的重要经验
2005年,原国信办在北京、上海、云南、黑 龙江2市2省区和银行、电力、税务3个行业组织了 信息安全风险评估试点工作。
4
2011-11-8
2006年3月,原国信办在北京、云南省组织 召开了信息安全风险评估推进工作会议。介绍了 05年试点工作经验,国家部委、各省信息办、8 +2系统依据中办发【2006】5号文件、9号文件, 开展了政府或重要行业的信息安全风险评估工作。
2003年7月组建成立“信息安全风险评估 课题组”,对信息安全风险评估工作的现状 进行全面深入了解,提出我国开展信息安全 风险评估的对策和办法,为下一步信息安全 的建设和管理做准备。 2003年8月至12月, 课题组先后对四个地 区(北京、广州、深圳和上海),十几个行业 的50多家单位进行了深入细致的调查与研 究,召开了9 次座谈会,
脆弱性已有安全措 施确认源自安全事件危害程 度7
2011-11-8
如何进行风险分析
我们采用定性分析、定量计算相结合的方法进 行风险分析。其中定量计算采用《规范》推荐的相 乘法进行。 《规范》中给出的算法: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) 《规范》在算法上没有给出具体详细的表述,给各 单位留有细化的空间,只要科学合理都应符合要求。
2007年,为保障十七大,在国家基础信息网络和重要 信息系统范围内,全面展开了自评估工作。 指派国家信息安全风险评估专门队伍,对重要行业进行了 安全抽查。 ( 中国移动、电力、税务、证券) 到目前,风险评估工作已经越来越被广大信息安全工作 者所重视,逐步建立了队伍,形成了能力,开发了工具手 段,在信息系统生存周期的各个阶段,在信息系统等级保 护和分级保护中得到应用。
用什么方法采集数据:
调查问卷 顾问访谈 现场查看 技术检测
评估用例
序号 时间 检测者 方式 对象 内容 保障条件 问卷调查、顾问访谈、现场查看 光缆干线传输系统的相关资产 以前期调研的资产列表为依据,对资产列表中的资产信息进行核查。 需要被评估单位相关技术人员的配合。 ① 以XXX的网络拓扑图为依据,与系统管理员进行现场访谈,确定选定的资产范围。 ② 填写《资产调查表》并对其进行整理。 ③ 以网络拓扑图为依据,在相关技术人员的配合下,对《资产调查表》中的所有信息资产进行 核查。 A-001-001 名称 地点 陪检者
资产识别
威胁识别
脆弱性识别
已有安全措施确认
威胁列表 检测记录
风险评估的准备
资产分类 评估方案
6
2011-11-8
信息安全安全检测与风险评估
资产识别 威胁识别 脆弱性识别 已有安全措施确认
资产
信息资产价值 威胁发 生可能 性 脆弱性 严重程 度 风险 安全事件发生的 可能性
威胁源
威胁
人员
病毒
体质
预防措施
风险评估的意义和作用
1.风险评估是信息系统安全的基础性工作
信息安全中的风险评估是传统的风险理论和方法在信息系统中的 运用,是科学地分析和理解信息与信息系统在保密性、完整性、 可用性等方面所面临的风险,并在风险的减少、转移和规避等风 险控制方法之间做出决策的过程。 风险评估将导出信息系统的安全需求,因此,所有信息安全建设 都应该以风险评估为起点。信息安全建设的最终目的是服务于信 息化,但其直接目的是为了控制安全风险。 只有在正确、全面地了解和理解安全风险后,才能决定如何处理 安全风险,从而在信息安全的投资、信息安全措施的选择、信息 安全保障体系的建设等问题中做出合理的决策。 进一步,持续的风险评估工作可以成为检查信息系统本身乃至信 息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关 主管单位参考,并使主管单位通过行政手段对信息系统的立项、 投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。
3
2011-11-8
通过研究认识到:
3. 加强风险评估工作是当前信息安全工作的 客观需要和紧迫需求
由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模 越来越大,同时也极大地增加了系统的复杂程度。 发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。 他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决 方案的严重脱离。因此,美国国家安全局强调“没有任何事情比解决 错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年 来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法 规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完 整的信息安全管理体系。 在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障 体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制 度化的方向发展。
1. 准备 2. 实施 3. 计算和分析 4. 形成风险分析报告
风险评估准备
确定目标和范围 确定风险评估的对象、目的、范围、内 容、组织结构、各方责任、工作原则、 进度安排、工作要求、保障条件、经费 预算等。 形成《风险风险评估计划方案》或《实 施方案》,报领导批准执行。
成立组织机构
领导小组 组织、协调
2.风险评估是分级防护和突出重点原则的具体体现
信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出 重点。 风险评估正是这一原则在实际工作中的具体体现。 从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风 险总是客观存在的。 安全是风险与成本的综合平衡。 盲目追求安全和回避风险是不现实的,也不是分级防护原则所要求的。 要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险, 以便采取科学、客观、经济和有效的措施。
风 险 评 估 实 施
阶信 段息 的系 风统 险生 评命 估周 期 各
风 险 评 估 的 工 作 形 式
风 险 的 计 算 方 法
风 险 评 估 的 工 具
5
2011-11-8
风险评估的要素与关联
使命:一个单位通过信息化要来实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依
靠程度。 资产:通过信息化建设积累起来的信息系统、信 息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵 害。威胁由多种属性来刻画:威胁的主体(威胁 源)、能力、资源、动机、途径、可能性和后果。
2。信息安全风险评估规范概要
风险评估实践的收获: 发现诸多安全隐患,看到了现实存在的安全风 险,并进行了有针对性的风险控制 各单位对信息安全工作重视程度不断加强 全员信息安全意识进一步增强 信息安全保护和管理水平不断提高了。
术 语 和 定 义
《规范》结构
风 险 评 估 框 架 及 流 程
脆弱性:信息资产及其防护措施在安全方面的不
足和弱点。脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可
能产生的影响两种指标来衡量。风险是在考虑事件 发生的可能性及其可能造成的影响下,脆弱性被威 胁所利用后所产生的实际负面影响。风险是可能性 和影响的函数,前者指威胁源利用一个潜在脆弱性 的可能性,后者指不利事件对组织机构产生的影响。 残余风险:采取了安全防护措施,提高了防护能 力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使, 在信息安全防护措施方面提出的要求。 安全防护措施:对付威胁,减少脆弱性,保 护资产,限制意外事件的影响,检测、响应 意外事件,促进灾难恢复和打击信息犯罪而 实施的各种实践、规程和机制的总称。
安全风险 风险计算与关联分析
评估报告 脆弱性列表 。。。。 风 险 评 估 文 档
任务执行小 组
多方部门技术人员参与,具体 承担技术检测、分析与评估
专家小组
方案、技术报告评 审、技术监督把关
8
2011-11-8
评估对象业务调查
(1)系统组成、网络结构。 (2)搜集各类管理文档资料,值班记录、配置文件等。 (3)主要设备类型、操作系统。 (4)相关业务数据信息 (5)以往评估或分析结果 (6)座谈、讨论 ( 7)现查勘查 (8)事故报告、安全事件报告、维护更新资料汇总 (9)分析提出评估对象的重点内容 (10)编写评估需求报告