返回
信息安全风险评估指南

信息安全风险评估指南

ID:22877794

大小:383.50 KB

页数:36页

时间:2018-11-01

信息安全风险评估指南_第1页
信息安全风险评估指南_第2页
信息安全风险评估指南_第3页
信息安全风险评估指南_第4页
信息安全风险评估指南_第5页
资源描述:

《信息安全风险评估指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、GB/T××××—××××国家质量监督检验检疫总局发布××××-××-××实施××××-××-××发布信息安全风险评估指南InformationSecurityRiskAssessmentGuideline(送审稿)GB/T××××—××××中华人民共和国国家标准ICS35.040L801GB/T××××—××××目次前言I1范围12规范性引用文件13术语和定义14概述34.1目的与意义34.2目标读者44.3文档组织45风险评估框架及流程45.1风险要素关系图45.2风险分析示意图65.3实施流程66风险评估实施76.1风险评估的准备76.

2、2资产识别86.3威胁识别136.4脆弱性识别156.5已有安全措施的确认176.6风险分析176.7风险评估文件记录197风险评估在信息系统生命周期中的不同要求207.1信息系统生命周期概述207.2信息系统生命周期各阶段的风险评估218风险评估的形式及角色运用258.1风险评估的形式258.2风险评估不同形式与其中各角色的关系25附 录 A28A.1风险矩阵测量法28A.2威胁分级计算法29A.3风险综合评价法30A.4安全属性矩阵法30附 录 B33B.1安全管理评价系统33B.2系统软件评估工具33B.3风险评估辅助工具34GB/T×

3、×××—××××GB/T××××—××××前言为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作,特制定本标准。本标准介绍了信息安全风险评估的基本概念、原则和要求,提出了信息安全风险评估的一般方法。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。本标准主要起草人:范红等人。GB/T××××—××××信息安全风险评估指南1 范围本标准提出了信息安全风险评估的实施流程、评估内容、评估方法及其在

4、信息系统生命周期各阶段的不同要求,适用于组织开展的信息安全风险评估工作。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ISO/IEC17799-2000Informationsecuritymanagement—Part1:CodeofpracticeforinformationsecuritymanagementISO

5、/IECTR13335.1Informationtechnology-GuidelinesforthemanagementofITSecurity-Part1:ConceptsandmodelsofITSecurityGB 17859-1999计算机信息系统安全保护等级划分准则 GB/T19716-2005信息技术信息安全管理实用规则GB/T19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型GB/T9361-2000 计算机场地安全要求3 术语和定义下列术语和定义适用于本标准。3.1资产Asset对组织具有价

6、值的信息资源,是安全策略保护的对象。3.2资产价值AssetValue资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。31GB/T××××—××××3.3威胁Threat可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。3.4 脆弱性Vulnerability可能被威胁利用对资产造成损害的薄弱环节。3.5信息安全风险InformationSecurityRisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。3.6 信息安全风险评估I

7、nformationSecurityRiskAssessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.7 残余风险ResidualRisk采取了安全措施后,仍然可能存在的风险。3.8 机密性Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。3.9完整性Integrality保证信息及信

8、息系统不会被有意地或无意地更改或破坏的特性。3.10 可用性Availability可以由得到授权的实体按要求进行访问和使用的特性。3.1131GB/T××××—×

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。