《{企业风险管理}信息安全风险评估基本过程》由会员分享,可在线阅读,更多相关《{企业风险管理}信息安全风险评估基本过程(65页珍藏版)》请在金锄头文库上搜索。
1、信息欠风险评估是对信息在产生、存储、传输等过程中其0育性及由此产生的后果所做的估计或佼价,是组织确定ED河02标a71信息安全风险评估的过程昝EEE人应2n李8月河N丨S丁n英62寿11E怡的威胁、脆弱点及相关问题,评价风险,推t一一工一HRSifFtigrcEERR7.2评估准备5巳i洁gEE以及评估结果的客观性,在信息安全风险评应进行充分的准备和计划,信息安全风险评佼的E10()组建适当00朋000i管理与实施团队;0827.2.1确定信息安全风险评估的目标在信息安全风险评估准备阶段应明确风险评估E2源史圆安全需求是一个组织为保证其业务正常、有效运转而Eud相关法律法规、组织在业务流程中对
2、信息安全等的保E英吊荣c月全风险评估的目标。7.2.2确定信息安全风险评估的范围Ei标育资产的一个子集,评估范围必须明确。E估的范围可能是单个系统或者是多个关联的系统。E述某次风险评估的范图。7.2.3组建适当的评估管理与实施团队在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技芸儿IT系统和来自用户的代表。E怀u系统调研是确定被评估对象的过程。风险评估团队应进行怪沥肌iE沥(D)业务战略及管理制度;(主要的业务功能和要求:(8)网络结构与网络环境,包括内部连接和外部连接:0伟不0伟0(0)系统和数据的敏感性dc沥tt关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、E根据信息安全评估风险依据,并综合考虚信息E素质等因素,选择具体的风险计算方法,并依据组织月5志1胡e江仁李述芸断依据,使之能够与组织环境和安全要求相适应。
