收藏
下载资源

信息安全风险评估服务

上传人:公**** 文档编号:564326997 上传时间:2023-07-25 格式:DOC 页数:26 大小:40KB
返回 下载 相关 举报
信息安全风险评估服务_第1页
第1页 / 共26页
信息安全风险评估服务_第2页
第2页 / 共26页
信息安全风险评估服务_第3页
第3页 / 共26页
信息安全风险评估服务_第4页
第4页 / 共26页
信息安全风险评估服务_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《信息安全风险评估服务》由会员分享,可在线阅读,更多相关《信息安全风险评估服务(26页珍藏版)》请在金锄头文库上搜索。

1、 欢迎阅读本文档,希望本文档能对您有所帮助!信息安全风险评估服务 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的bs779 9、iso1779 9、国家标准信息系统安全等级评测准则等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险

2、评估综合方法及操作模型。 1.2风险评估相关 资产,任何对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量

3、的方法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段 1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(mitie)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的

4、风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展 2021年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2021年8月至2021年在国信办直接指导下,组成了风险评估课题组 20212021年,国家信息中心风险评估指南,风险管理指南年全国风险评估试点 在试点和调研基础上,由国信办会同公安部,安全部,等起草了关于开展信息安全风险评估工作的意见征求意见稿 2021年,所有的部委和所有省

5、市选择1-2单位开展本地风险评估试点工作 2021年,国家能源局根据电力监控系统安全防护规定(国家发展和改革委员会令2021年第14号)制定了电力监控系统安全防护总体方案(国能安全202136号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要 2021年7月,中华人民共和国网络安全法颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。 3、风险评估要素关系模型 4、风险评估流程 确定资产评估范围资产的识别和影响威胁识别脆弱性评估威胁分析风险分析风险管理 5、风险评估原则

6、符合性原则标准性原则规范性原则 可控性原则保密性原则 整体性原则重点突出原则最小影响原则 6、评估依据的标准和规范 gb/t20214-2021信息安全技术信息安全风险评估规范电力监控系统安全防护规定(发改委14号令) 关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全202136号) gb/t18336-2021信息技术安全技术信息技术安全性评估准则 iso/iec27001:2021信息安全管理体系标准 gb/t22239-2021信息安全技术信息系统安全等级保护基本要求 gb/t22240-2021信息安全技术信息系统安全等级保护定级指南 gb/t25058-2

7、021信息安全技术信息系统安全等级保护实施指南 电力行业信息安全等级保护基本要求(电监信息202162号)关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息202134号) 电力行业信息系统等级保护定级工作指导意见(电监信息202144号) 7、风险评估的发展方向 8.1风险评估行业发展方向 从2021年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。 历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是关于开展信息安全风险评估工作的意见政策文件,以及信息安全风险评估指南和信息

8、安全风险管理指南两项标准历经酝酿、形成到不断完善的三个时期。 信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。

9、没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。 信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行

10、持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。 国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息

11、安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。 8.2公司自身的发展方向 就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与

12、度。据河南同样类型的企业,其在2021年一月至2021年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。 第二篇:信息安全风险评估项目流程信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档 xxx项目xxx解决方案 输出文档(电子版、纸质版)交付销售助理保管,电

13、子版抄送技术部助理。 1.3、注意事项 销售需派发内部工单(售前技术支持)输出文档均一式三份(下同) 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。 要求甲方按合同范围提供资产表,确定扫描评估范围、人工评估范围和渗透测试范围。 请甲方给所有资产赋值(双方确认资产赋值)请甲方指定安全评估调查(访谈)人员3.2、输出文档 xxx项目启动会议记要 客户提交信息资产表、网络拓扑图,由项目小组暂时保管,以供项目实施使用3.3、注意事项

14、资产数量正负不超过15%;给资产编排序号,以方便事后检查。 给人工评估资产做标记,以方便事后检查。资产值是评估报告的重要数据。销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 准备项目实施ppt,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书 项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 xxx项目实施pptxxx项目人工访谈原始文档xxx项目保密协议xxx项目xxx授权书4.3、注意事项 如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。 项目实施小组与客户约定进场时间。 保密协议和授权书均需双方负责人签字并加盖公章。保密协议需项目双方参与人员签字 五、驻场实施会议 5.1、工作说明 项目小组进场与甲方召开项目实施会议(项目实施ppt),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。 5.2、输出文档

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 其它考试类文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号