返回
计算机信息安全风险评估的基本过程.ppt

计算机信息安全风险评估的基本过程.ppt

ID:48155903

大小:596.50 KB

页数:65页

时间:2020-01-16

计算机信息安全风险评估的基本过程.ppt_第1页
计算机信息安全风险评估的基本过程.ppt_第2页
计算机信息安全风险评估的基本过程.ppt_第3页
计算机信息安全风险评估的基本过程.ppt_第4页
计算机信息安全风险评估的基本过程.ppt_第5页
计算机信息安全风险评估的基本过程.ppt_第6页
计算机信息安全风险评估的基本过程.ppt_第7页
计算机信息安全风险评估的基本过程.ppt_第8页
计算机信息安全风险评估的基本过程.ppt_第9页
计算机信息安全风险评估的基本过程.ppt_第10页
资源描述:

《计算机信息安全风险评估的基本过程.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估的基本过程信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价,是组织确定信息安全需求的过程。1信息安全风险评估的过程依据GB/T20984—2007《信息安全技术信息安全风险评估规范》,同时参照ISO/IECTR13335-3、NISTSP800-30等标准,风险评估过程都会涉及到以下阶段:识别要评估的资产,确定资产的威胁、脆弱点及相关问题,评价风险,推荐对策。信息安全风险评估完整的过程如图7-1所示2评估准备信息安全风险评估的准备

2、,是实施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划,信息安全风险评估的准备活动包括:⑴确定信息安全风险评估的目标;⑵确定信息安全风险评估的范围;⑶组建适当的评估管理与实施团队;⑷进行系统调研;⑸确定信息安全风险评估依据和方法;⑹制定信息安全风险评估方案;⑺获得最高管理者对信息安全风险评估工作的支持。2.1确定信息安全风险评估的目标在信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效

3、运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安全风险评估的目标。2.2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。2.3组建适当的评估管理与实施团队在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评

4、估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家,还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。2.4进行系统调研系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:⑴业务战略及管理制度;⑵主要的业务功能和要求;⑶网络结构与网络环境,包括内部连接和外部连接;⑷系统边界;⑸主要的硬件、软件;⑹数据和信息;⑺系统和数据的敏感性;⑻支持和使用系统的人员。2.5确定信息安全风险评估依据和方法信息安全风险

5、评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据,并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。2.6制定信息安全风险评估方案信息安全风险评估方案的内容一般包括:⑴团队组织:包括评估团队成员、组织结构、角色、责任等内容。⑵工作计划:信息安

6、全风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容。⑶时间进度安排:项目实施的时间进度安排。2.7获得最高管理者对信息安全风险评估工作的支持信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配作出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。3识别并评价资产3.1识别资产在信息安全风险评估的过程中,应清晰地识别其所有的资产,不能遗漏,划入风险评估范围和边界内的每一项资产都应该被确认和评估。资产识别活动中,可能会用到工具有以下

7、几种。1.资产管理工具2.主动探测工具3.手工记录表格3.2资产分类资产的分类并没有严格的标准,在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握,表7-2列出了一种根据资产的表现形式的资产分类方法。分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语言包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备

8、:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携式算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。