返回
济南市信息安全风险评估工作指南

济南市信息安全风险评估工作指南

ID:9797852

大小:3.13 MB

页数:74页

时间:2018-05-10

济南市信息安全风险评估工作指南_第1页
济南市信息安全风险评估工作指南_第2页
济南市信息安全风险评估工作指南_第3页
济南市信息安全风险评估工作指南_第4页
济南市信息安全风险评估工作指南_第5页
资源描述:

《济南市信息安全风险评估工作指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、济南市信息安全风险评估工作指南济南市信息化领导小组办公室济南市信息产业局2007年6月前言随着我市国民经济和社会信息化进程的加快,网络与信息系统22的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络和信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。信息安全已经成为影响信息化发展的重大问题,引起了国家政府和社会的广泛关注和重视。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)提出“要重视信息安

2、全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。”中央领导同志也多次就信息安全风险评估工作做出重要指示。信息系统信息安全风险评估是为了了解系统究竟面临什么风险、有多大风险,以及应该采取什么样的措施去减少、化解或规避风险,是为了解决这样一些问题:什么地方、什么时间可能出问题?会出什么问题?出问题的可能性有多大?这些问题可能产生的后果是什么?应该采取什么样的措施加以避免和弥

3、补?它是认识和评价信息系统信息安全状况的基本方法和手段,是信息安全的基础性工作。市信息化办公室、市信息产业局结合济南市信息安全风险评估试点工作过程中的实践经验,总结形成了一套信息安全风险评估流程,以此为基础编写了《济南市信息安全风险评估工作指南》(以下简称“工作指南”)。本工作指南对信息安全风险评估的基本概念、评估方法、实施过程、项目管理和质量管理等方面作了全面的阐述。在风险评估实际工作中可以根据具体情况,对风险评估的方法、过程和工具进行适当的选择和发展,完成好信息安全风险评估工作。本工作指南是我市

4、开展信息系统信息安全风险评估工作的指导文件,它的编制旨在使信息安全风险评估作为一项科学的方法为我市各单位所接受、理解和运用,对各单位的信息安全风险评估工作起到指导作用。2222目录第一章适用范围5第二章参考依据6第三章信息安全风险评估概述73.1基本概念73.2名词术语73.3风险评估基本原理103.3.1风险评估要素关系模型103.3.2风险计算模型11第四章风险评估原则124.1可控性原则124.2完整性原则124.3最小影响原则124.4保密性原则134.5可恢复性原则13第五章风险评估和信息

5、系统生命周期145.1信息系统生命周期145.2信息系统生命周期各阶段中的风险评估145.2.1规划阶段155.2.2设计阶段155.2.3实施阶段175.2.4运维阶段185.2.5废弃阶段19第六章风险评估的形式及工作程序226.1基本形式226.1.1自评估226.1.2检查评估226.2角色与职责246.3工作程序26第七章风险评估质量控制317.1风险评估项目组织317.2加强项目评审317.3风险评估过程中的风险控制327.4风险评估文档的要求327.5交流与沟通33第八章风险评估实施过

6、程348.1风险评估的准备35228.1.1工作任务358.1.2工作流程358.1.3阶段成果378.2资产识别388.2.1资产分类388.2.2资产赋值398.2.3资产重要性等级418.3威胁识别438.3.1威胁分类438.3.2威胁赋值448.4脆弱性识别468.4.1脆弱性识别内容468.4.2脆弱性识别方法498.4.3脆弱性赋值518.5已有安全措施的确认528.6风险分析538.6.1风险计算原理538.6.2风险结果的判定548.6.3控制措施的选择558.6.4残余风险的评价

7、55附录1风险评估工作表格571.系统调研572.资产识别清单573.资产重要性程度判断准则594.威胁列表615.脆弱性列表626.风险处理计划63附录2风险值计算方法641.使用矩阵法计算风险641.1计算原理641.2适用条件651.3计算过程651.4小结682.使用相乘法计算风险692.1计算安全事件发生的可能性692.2计算安全事件发生后的损失692.3风险值计算7022第一章适用范围本工作指南依据《信息安全风险评估指南(征求意见稿)》(国信办综[2006]9号)文件中规定的评估步骤和评

8、估流程,对信息安全风险评估过程中具体内容和方法给予进一步的说明,为我市的各机构或单位在开展信息安全风险评估相关工作时提供参考。22第二章参考依据本指南在编制过程中依据了国家政策法规、技术标准、规范与管理要求、行业标准,主要包括以下内容:1.政策法规:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)2.国际标准:ISO/IEC17799:2005《信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。