《信息安全系统风险评估服务.docx》由会员分享,可在线阅读,更多相关《信息安全系统风险评估服务.docx(8页珍藏版)》请在金锄头文库上搜索。
1、合用文档1、风险评估归纳1.1风险评估看法信息安全风险评估是参照风险评估标准和管理规范,对信息系统的财富价值、潜藏威胁、单薄环节、已采用的防范措施等进行解析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、浸透性测试这种种类的纯技术操作,逐渐过渡到当前宽泛采用国际标准的BS7799、ISO17799、国家标准信息系统安全等级评测准则等方法,充分表现以财富为出发点、以威胁为触发要素、以技术/管理/运行等方面存在的纤弱性为诱因的信息安全风险评估综合方法及操作模型。1.2风险评估相关财富,
2、任何对组织有价值的事物。威胁,指可能对财富或组织造成损害的事故的潜藏原因。比方,组织的网络系统可能碰到来自计算机病毒和黑客攻击的威胁。柔缺点,是指财富或财富组中能背威胁利用的缺点。如员工缺乏信息安全意思,使用简短易被猜想的口令、操作系统自己有安全漏洞等。风险,特定的威胁利用财富的一种或一组单薄点,以致财富的丢失或损害饿潜藏可能性,即特定威胁事件发生的可能性与结果的结合。风险评估,对信息和信息办理设施的威胁、影响和柔缺点及三者发生的可能性评估。合用文档风险评估也称为风险解析,就是确认安全风险及其大小的过程,即利用合适的风险评估工具,包括定性和定量的方法,去顶财富风险等级和优先控制序次。2、风险评
3、估的发展现状2.1信息安全风险评估在美国的发展第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特企业(MITIE)及其他和国防工业相关的一些企业对当时的大型机、远程终端进行了研究,解析。作为第一次比较大规模的风险评估。特点:仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。第三阶段(90年代末,21世纪初)以信息系统为对象的
4、信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确本源于技术、管理和人员三个方面;逐渐形成了风险评估、自评估、认证认可的工作思路。合用文档2.2我国风险评估发展 2002年在863计划中首次规划了系统安全风险解析和评估方法研究课题 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组 2004年,国家信息中心风险评估指南,风险管理指南 2005年全国风险评估试点 在试点和调研基础上,由国信办会同公安部,安全部,等起草了关于张开信息安全风险评估工作的建议征采建议稿 2006年,全部的部委和全部省市选择1-2单位张开当地风险评估试点工作 2015年,国家
5、能源局依照电力监控系统安全防范规定(国家发展和改革委员会令2014年第14号)拟定了电力监控系统安全防范整体方案(国能安全201536号)等安全防范方案和评估方案,其中相关规定明确风险评估在电力系统中的需要 2017年7月,中华人民共和国网络安全法宣布,其中第二章第十七条“国家推进网络安全社会化服务系统建设,激励相关企业、机构张开网络安全认证、检测细风险评估等安全服务”。明确了需要社会宽泛参加服务。合用文档3、风险评估要素关系模型4、风险评估流程确定财富评估范围财富的鉴别和影响威胁鉴别纤弱性评估威胁解析风险解析风险管理5、风险评估原则吻合性原则标准性原则合用文档规范性原则可控性原则保密性原则整
6、体性原则重点突出原则最小影响原则6、评估依照的标准和规范GB/T20984-2007信息安全技术信息安全风险评估规范电力监控系统安全防范规定(发改委14命令)关于印发电力监控系统安全防范整体方案等安全防范方案和评估规范的通知(国能安全201536号)GB/T18336-2001信息技术安全技术信息技术安全性评估准则ISO/IEC27001:2005信息安全管理系统标准GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T25058-2010信息安全技术信息系统安全等级保护推行指南电力行业信息安全等级保护基
7、本要求(电监信息201262号)合用文档关于张开电力行业信息系统安全等级保护定级工作的通知(电监信息200734号)电力行业信息系统等级保护定级工作指导建议(电监信息200744号)7、风险评估的发展方向8.1风险评估行业发展方向从2003年7月到此刻,我国信息安全风险评估工作大体经历了三个阶段,即检查研究阶段、标准编制阶段和试点工作阶段。历时两年、经过检查研究、标准编制和试点工作三个阶段,当前,我国信息安全风险评估工作已获取阶段性的成就,此间也是关于开展信息安全风险评估工作的建议政策文件,以及信息安全风险评估指南和信息安全风险管理指南两项标准历经酝酿、形成到不断完满的三个时期。信息安全风险是
8、人为或自然的威胁利用系统存在的纤弱性惹起的安全事件,并由于受损信息财富的重要性而对机构造成的影响。而信息安全风险评估,则是指依照国家风险评估相关管理要求和技术标准,对信息系统及由其储藏、办理和传输的信息的机密性、完满性和可用性等安全属性进行科学、公正的综合议论的过程。经过对信息及信息系统的重要性、面对的威胁、其自己的纤弱性以及已采用安全措施有效性的解析,判断纤弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来鉴别信息安全的安全风险。信息安全风险评估是信息安全保障系统建立过程中的重要的评合用文档价方法和决策体系。没有正的确时的风险评估,将使得各个机构无法对其信息安全的情况做出正确的
9、判断。因此,所谓安全的信息系统,实质是指信息系统在推行了风险评估并做出风险控制后,依旧存在可被接受的节余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统张开全面、完满的信息安全风险评估。信息安全风险评估在信息安全保障系统建设中拥有不能取代的地位和重要作用。风险评估既是推行信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。经过风险评估,能及早发现和解决问题,防患于未然。当前,特别迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行连续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采
10、用有针对性的对付措施,为建立全方向的国家信息安全保障系统供应服务。经过风险评估能够有助于认清信息安全环境和信息安全情况,明确信息化建设中各级的责任,采用或完满更加经济有效的安全保障措施,保证信息安全策略的一致性和连续性,并进而服务于国家信息化发展,促进信息安全保障系统的建设,全面提升信息安全保障能力。其意义详尽表此刻于:风险评估是信息安全建设和管理的重点环节,它是需求主导和突出重点原则的详尽表现,是解析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。国家信息安全风险评估政策文件和标准的立刻出台与宣布将为我国信息安全风险评估工作的张开供应科学的政策和技术依照。相信合用文档在未来,我国信
11、息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。8.2企业自己的发展方向就当前企业而言,最紧迫的是关于信息安全风险评估资质的申请,和人员技术的培训。依赖现有的省企业调换自动化处的合作,促进与新式能源企事业合作,大力张开光伏电站入网前的安全防范检查与检测,同时拓展到风电、水电和火电的并网后的如期检查。在这个方面,我司此刻的业务水平还有欠缺,技术方面还有不足。因此此刻在面对这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。别的,在正式介入这个行业后,我们不能够只限制于和电厂的合作,更应该面向整个社会,提升社会参加度。据河南同样种类的企业,其在2017年一月至2017年七月营业额同比增加200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。因此我们应该掌握机会。充分利用已有的资源,抢占市场,据有优势地位。
