预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共12页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰 的认识.只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱 它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略 规划的第一步,同时也是实施其他安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受 了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和 类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的 安全防护体系的需求了。 安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最 大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,如果不仔细 的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决 策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确 的判断. 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的 脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由 其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过 程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结 合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其 结果为信息安全更显管理提供依据. 3、风险评估服务机制 在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术 环境、物理环境进行风险评估: 在设计规划或升级新的信息系统时; 给目前的信息系统增加新应用时; 在与其他组织(部门)进行网络互联时; 在技术平台进行大规模更新(例如,从Linux系统移植到Sliaris系统)时; 在发生计算机安全事件之后,或怀疑可能会发生安全事件时; 关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时; 在组织具有结构变动(例如:组织合并)时: 在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满 足组织持续运营需要时等. 4、风险评估服务的收益 风险评估可以帮助客户: 准确了解租住的信息安全现状; 明晰组织的信息安全需求; 制定组织信息系统的安全策略和风险解决方案; 指导组织未来的信息安全建设和投入; 建立组织自身的信息安全管理框架. 二、风险评估服务介绍 本公司遵循公认的ISO27001、GB/T20984—2007信息安全风险评估规范以 及国际信息安全等级保护指南等安全标准知道风险评估的工作,针对资产重要程 度分别提供不同的频率和方式的风险评估,帮助客户了解客观真实的自身网络系 统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策 略来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制 度,从而全面完整的解决可能存在的各种风险隐患。 1、风险评估服务遵循标准 在整个评估过程中,本公司遵循和参照最新、最权威的信息安全标准,作为 评估实施的依据.这些安全标准包括: 安全技术标准: GB17859:计算机信息系统安全保护等级划分准则 GB18336(ISO15408):信息技术—安全技术—信息技术风险评估准则(等 同于CommonCriteriaforInformationTechnologySecurityEvaluationV1.2, 简称CCV1。2) CVE:CommonVulnerabilities&Exposures,通用脆弱性标准。CVE是个 行业标准,为每个漏洞和弱点确定了惟一的名称和标准化的描述,可以称 为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准 安全管理标准: ISO/IEC27001:2005InformationTechnology—Security techniques-Informationsecuritymanagementsystems-Requirements,信息 技术-安全技术—信息安全管理体系要求 ISO/IEC27005:2008InformationTechnology—Security echniques-Informationsecurityriskmanagement,信息技术-安全技术—信 息安全风险管理 GB/T22239—2008信息安全技术信息系统安全等级保护基本要求 信息安全等级保护信息系统安全管理要求(送审稿) ISO133