返回
2016信息安全风险评估(运营商)-指南

2016信息安全风险评估(运营商)-指南

ID:12374536

大小:242.47 KB

页数:47页

时间:2018-07-16

2016信息安全风险评估(运营商)-指南_第1页
2016信息安全风险评估(运营商)-指南_第2页
2016信息安全风险评估(运营商)-指南_第3页
2016信息安全风险评估(运营商)-指南_第4页
2016信息安全风险评估(运营商)-指南_第5页
资源描述:

《2016信息安全风险评估(运营商)-指南》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估(运营商)-指南内容提要本文档基于运营商行业的特点详细阐述了信息安全风险组成要素及其相互关系、评估流程、风险分析方法和类型,以及服务实施所使用的评估方法与工具等内容。另外,阐明了因应具体项目所需的调整方法。本文档可用于售前人员了解信息安全评估的基本理论和方法,了解运营商行业的特点和要求;适用于售后人员学习和掌握运营商行业的信息安全评估理论方法和具体要求。本文档是运营商行业信息安全评估的总体性指南文档,对于实际的安全评估实施流程和作业规程或指导可参见《信息安全风险评估(运营商)-实施规范》。目录一.范围11.1概要11.2读者对象11.3文档结构1二.参

2、考文件22.1国家标准22.2国际标准22.3行业标准22.4其他2三.术语和定义3四.风险评估概述54.1风险评估的意义54.2风险评估的内容范围54.3风险评估的目的和目标64.4风险评估与信息生命周期的关系64.5风险评估与业务的关系7五.运营商行业风险评估的特点75.1运营商行业的发展特点75.2运营商开展安全评估的驱动力85.2.1内部驱动力85.2.2外部驱动力85.3运营商行业安全评估的特点85.3.1业务流程繁杂、技术含量高85.3.2客户要求高95.3.3工作配合人员忙、时间少95.3.4跨地域的系统分布9-V-六.风险要素和风险分析原理96.1风险

3、要素96.2风险要素间的关系106.3风险评估框架136.4风险分析原理136.5风险评估流程14七.风险评估过程167.1准备阶段167.1.1确定安全评估目标和范围177.1.2业务与系统调研及分析177.1.3明确合规性依据187.1.4明确业务安全要求187.1.5确定风险接受准则197.1.6确定安全评估方法和手段197.1.7制定评估方案197.1.8获得支持207.2风险识别阶段207.2.1资产识别207.2.2威胁识别227.2.3脆弱性识别257.2.4已有安全措施确认267.3风险计算与分析阶段277.3.1风险计算277.3.2风险等级划分28

4、7.3.3风险综合分析297.4风险处置与应对阶段297.4.1风险处置方法297.4.2选择风险控制目标和措施30-V-7.4.3制定风险处置计划307.4.4残余风险评估30八.评估对象与方法318.1评估方法318.1.1工具评估318.1.2人工评估318.1.3顾问访谈328.1.4调查问卷338.1.5渗透测试348.2评估对象34九.风险评估文档记录35十.与其他安全服务的关系3610.1等级保护3610.2ISMS体系建立与ISO27001认证咨询3710.3安全域划分37-V-表格索引表7.1资产保密性赋值表20表7.2资产完整性赋值表21表7.3资

5、产可用性赋值表21表7.4资产等级及含义描述22表7.5表威胁来源列表22表7.6一种基于表现形式的威胁分类表23表7.7威胁赋值表24表7.8脆弱性识别内容表25表7.9脆弱性严重程度赋值表26表7.10风险等级划分表28表8.1评估类型、对象与方法34-V-插图索引图6.1风险要素关系图11图6.2风险管理各要素间的相互作用及结果12图6.3风险评估框架内容13图6.4风险分析原理图13图6.5风险评估实施流程图15图10.1风险评估与安全服务体系36-V-信息安全风险评估(运营商)-指南一.范围1.1概要本指南描述了运营商网络信息系统的特点,构成风险的要素及其关

6、系,风险评估的实施流程、评估方法和手段、遵循的原则及需要特别考虑的因素。本指南主要适用于对运营商的网络信息系统进行风险评估。运营商一般仅指网通、电信、移动、联通、铁通等这里采用了运营商合并前的名称。为公众提供电信运营服务的企业。网络信息系统一般指运营商的支撑系统、生产系统及增值服务系统等为运营商所用的各种信息和通信系统。本指南所述的评估内容主要包括技术和管理两个方面,可适用于全面的信息安全风险评估。本指南是对运营商网络信息系统进行全面安全评估的指导文件,对于实际的安全评估实施流程和作业规程或指导可参见《信息安全风险评估(运营商)-实施规范》。1.2读者对象本文档主要面

7、向负责或参与信息安全风险评估的售前和售后服务人员。l售前人员:可通过本文档了解运营商行业信息系统进行风险评估参照的标准、法规,的理念、方法的原则,知晓信息安全风险评估的流程和常见的评估方法与工具,掌握工作量的计算,等等。l售后服务人员:分支售后技术人员可通过此文档掌握运营商行业信息系统风险评估特点,方法和步骤,规范风险评估的执行过程和步骤,提升工作效率和质量。-38-信息安全风险评估(运营商)-指南1.1文档结构本文档主要包括十个章节,第一章简述了本文档的内容范围;第二章列举了主要参考文件;第三章说明了安全评估中常见的术语定义;第四章是对风险评估进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。