返回
信息安全风险评估

信息安全风险评估

ID:39085737

大小:290.50 KB

页数:23页

时间:2019-06-24

信息安全风险评估_第1页
信息安全风险评估_第2页
信息安全风险评估_第3页
信息安全风险评估_第4页
信息安全风险评估_第5页
资源描述:

《信息安全风险评估》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全风险评估指南***软件有限公司信息安全风险评估指南编号:***状态:受控编写:***20**年**月**日审核:20**年**月**日批准:20**年**月**日发布版次:第*/*版20**年**月**日生效日期:20**年**月**日第23页共23页信息安全风险评估指南变更记录变更日期版本变更说明编写审核批准20**-**-***/*初始版本***********第23页共23页信息安全风险评估指南信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求

2、、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。1.1政策法规:²《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)²《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)1.2国际标准:²ISO/IEC17799:2005《信息安全管理实施指南》²ISO/IEC27001:2005《信息安全管理体系要求》²ISO/IECTR13335《信息技术安全管理指南》1.3国内标准:²《信息安全风险评估指南》(国信办综[2006]9

3、号)²《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月)²GB17859—1999《计算机信息系统安全保护等级划分准则》²GB/T183361-3:2001《信息技术安全性评估准则》²GB/T5271.8--2001《信息技术词汇第8部分:安全》²GB/T19715.1—2005《信息技术安全管理指南第1部分:信息技术安全概念和模型》²GB/T19716—2005《信息安全管理实用规则》1.4其它²《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA

4、147070))2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:第23页共23页信息安全风险评估指南风险评估要素关系模型图中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资

5、产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,—

6、部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。2.2风险计算模型风险计算模型是对通过风险分析计算风险值的过程的抽象,它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示:风险计算模型示意图第23页共23页信息安全风险评估指南风险计算模型中包含:资产、威胁、脆弱性等基本要素。每个要素有各自的

7、属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等;脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。2.3风险计算的过程如下:对资产进行识别,并对资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安

8、全事件一旦发生对组织的影响,即风险值。3风险评估实施过程根据风险评估要素关系模型,进行风险评估需要分析评价各要素,按照各要素关系,风险评估的过程主要包括:风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节,风险评估实施过程可用下图表示:风险评估实施流程(见下页)以下对风险评估过程中包括的具体步骤进行详细描述:3.1风险评估的准备风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑,其结果将受到组

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。