♦ 什么是风险评估
对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,和利 用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响,并以此识别信息系统的安全风险的过程。
♦ 为什么需要风险评估
分析信息系统及其所依托的网络信息系统的安全状况,全面了解和掌握该系统面临的信息安全威胁和风险,明确采取何种有效措施,降低威胁事件发生的可能性 或者其所造成的影响,减少信息系统的脆弱性,从而将风险降低到可接受的水平;同时,为后期安全规划方案的提出提供原始依据,并做为今后其他工作的参考。
▪ 充分反映当前的安全现状;
▪ 提供信息安全防御机制的建议;
▪ 很好的同等级保护相结合;
▪ 对安全决策提供支撑和依据;
▪ 为今后网络安全建设提供参考;
▪ 提高员工的安全意识;
在风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的路径。
♦ 风险评估服务流程
阶段1:《风险评估实施方案》
▪项目准备
对信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式讨论确定。
▪项目启动
启动信息系统风险评估工作。
阶段2:《安全现状调查报告》
▪资产识别
对被评估信息系统的关键资产进行识别,并合理分类;
▪威胁识别
识别被评估信息系统的关键资产所面临的
对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,和利 用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响,并以此识别信息系统的安全风险的过程。
♦ 为什么需要风险评估
分析信息系统及其所依托的网络信息系统的安全状况,全面了解和掌握该系统面临的信息安全威胁和风险,明确采取何种有效措施,降低威胁事件发生的可能性 或者其所造成的影响,减少信息系统的脆弱性,从而将风险降低到可接受的水平;同时,为后期安全规划方案的提出提供原始依据,并做为今后其他工作的参考。
▪ 充分反映当前的安全现状;
▪ 提供信息安全防御机制的建议;
▪ 很好的同等级保护相结合;
▪ 对安全决策提供支撑和依据;
▪ 为今后网络安全建设提供参考;
▪ 提高员工的安全意识;
在风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的路径。
♦ 风险评估服务流程
阶段1:《风险评估实施方案》
▪项目准备
对信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式讨论确定。
▪项目启动
启动信息系统风险评估工作。
阶段2:《安全现状调查报告》
▪资产识别
对被评估信息系统的关键资产进行识别,并合理分类;
▪威胁识别
识别被评估信息系统的关键资产所面临的