返回
《信息安全评估过程》ppt课件

《信息安全评估过程》ppt课件

ID:36328497

大小:3.55 MB

页数:45页

时间:2019-05-09

《信息安全评估过程》ppt课件_第1页
《信息安全评估过程》ppt课件_第2页
《信息安全评估过程》ppt课件_第3页
《信息安全评估过程》ppt课件_第4页
《信息安全评估过程》ppt课件_第5页
资源描述:

《《信息安全评估过程》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估实施过程概要:以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T20984—2007《信息安全技术信息安全风险评估规范》和第7章信息安全风险评估的基本过程,将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。8.1评估准备8.2识别并评价资产8.3识别并评估威胁8.4识别并评估脆弱性8.5分析可能性和影响8.6风险计算8.7风险处理8.8编写信息安全风险评估报告本章目录依据GB/T20984—2007《信息安全技术信息安全风

2、险评估规范》,在风险评估实施前,应确定风险评估的目标,确定评估范围,组建评估管理与实施团队,进行系统调研,确定评估依据和方法,制定评估方案,获得最高管理者的支持。8.1.1确定信息安全风险评估的目标××信息系统风险评估目标是通过风险评估,分析信息系统的安全状况,全面了解和掌握信息系统面临的安全风险,评估信息系统的风险,提出风险控制建议,为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。8.1评估准备8.1.2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度

3、、使用或管理该信息系统的相关人员,以及由系统使用时所产生的文档、数据。8.1.3组建适当的评估管理与实施团队组建由该单位领导、风险评估专家、技术专家,以及各管理层、业务部门的相关人员组成风险评估小组,同时明确规定每个成员的任务分工。8.1.4进行系统调研通过问卷调查、人员访谈、现场考察、核查表等形式,对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》,调查了系统的管理、设备、人员管理的情况,现场考察、核查表的方式考察了设备的具体位置,核查了设备的实际配置等情况,得出有关信息系统的描述。8.1.4.1业务目标和业务特性1

4、.业务目标××信息系统主要负责数据的收集、技术处理以及预测分析,为相关部门提供决策和管理支持,向社会提供公益服务。2.业务特性通过对信息系统的业务目标的分析,归纳出以下业务特性:⑴业务种类多,技术型工作与管理型工作并重;⑵业务不可中断性低;⑶业务保密性要求低;⑷业务基本不涉及现金流动;⑸人员业务素质要求高。8.1.4.2管理特性现有的规章制度原则性要求较多,可操作性较低,在信息安全管理方面偏重于技术。8.1.4.3网络特性××信息系统的网络拓扑结构图如图8-1所示。图8-1网络拓扑结构图8.1.5评估依据评估所遵循的依据如下:1.《信息安全技术信息安全风险评估规

5、范》(GB/T20984-2007)2.《信息技术 信息技术安全管理指南》(GB/T19715-2005)3.《信息技术 信息安全管理实用规则》(GB/T19716-2005)2.《信息安全等级保护管理办法》(公通字[2007]43号)3.《信息安全技术信息系统安全管理要求》(GB/T20269-2006)8.1.6信息安全风险评估项目实施方案8.1.6.1项目组织机构项目实施的组织机构如下:项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果;项目实施完毕之后

6、,领导小组将根据整个项目的成果情况,批准并主持项目试点总结工作。项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划,并监督项目进展情况;主持阶段成果汇报会议;做好协调工作,保证项目的顺利执行。项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划,根据实施计划开展工作。质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、

7、指导和咨询。8.1.6.2项目阶段划分本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段,各阶段工作定义说明如下:项目准备:项目实施前期工作,包括成立项目组,确定评估范围,制定项目实施计划,收集整理开发各种评估工具等。工作方式:研讨会。工作成果:《项目组成员信息表》、《评估范围说明》、《评估实施计划》。现状调研:通过访谈调查,收集评估对象信息。工作方式:访谈、问卷调查。工作成果:《各种系统资料记录表单》。检查与测试:手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式:访谈、问卷调查、测试、研讨会。工作成果:《资产评估

8、报告》、《威胁评估报告》

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。