1、第 5章 信息安全风险评估实施流程第 5章 信息安全风险评估实施流程5.1 风险评估的准备 5.2 资产识别 5.3 脆弱性识别 5.4 已有安全措施确认5.5 风险分析5.6 风险处理计划5.7 风险评估文件记录5.8 本章作业第 5章 信息安全风险评估实施流程信息安全风险评估实施流程信息安全风险评估 是从 风险管理 角度,运用科学的方法和手段,系统地分析 网络与信息系统 所面临的 威胁 及其存在的 脆弱性 ,评估安全事件一旦发生可能造成的 危害程度 ,为防范和化解信息安全风险 ,或者将 风险控制 在可以接受的水平,制定针对性的 抵御威胁的防护对策 和 整改措施 以最大限度地保障网络和信息安
2、全提供科学依据。第 5章 信息安全风险评估实施流程在信息化建设中,各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障,由于其可能存在软硬件设备缺陷、系统集成缺陷 等,以及信息安全管理中潜在的薄弱环节,都将导致不同程度的安全风险。第 5章 信息安全风险评估实施流程信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患,并为增强安全性提供有效建议,以便采取更加经济、更加有力的安全保障措施,提高信息安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。信息安全风险评估在具体实施中一般包括 风险评估的准备活动 ,对 信息系统资产安全、面临威、存在脆弱性的识
3、别,对 已经采取安全措施的确认 ,对可能 存在的信息安全风险的识别 等环节。第 5章 信息安全风险评估实施流程5.1 风险评估的准备风险评估的准备是实施风险评估的前提,只有有效地进行了信息安全风险评估准备,才能更好地开展信息安全风险评估。由于实施信息安全风险评估, 涉及组织的业务流程、信息安全需求、信息系统规模、信息系统结构 等多方面内容,因此开展信息安全风险评估的准备活动,通过 确定目标、进行调研、获得组织高层管理者对评估的支持 等,对有效实施风险评估是十分必要的。第 5章 信息安全风险评估实施流程信息安全评估的准备活动包括1. 确定风险评估的 目标2. 确定风险评估的 范围3. 组建风险评
4、估 管理团队 和 评估实施团队4. 进行 系统调研5. 确定 评估依据和方法6. 获得最高管理者对风险评估工作的 支持第 5章 信息安全风险评估实施流程5.1.1 确定风险评估的目标首先需要确定风险评估的目标,信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的 机密性、可用性、完整性 等方面的需求,来确定风险评估的目标。第 5章 信息安全风险评估实施流程5.1.2 确定风险评估的范围 在风险评估前,需要确定风险评估的范围。风险评估的范围,包括 组织内部 与信息处理相关的 各类软硬件资产 、相关的 管理机构
5、和人员 、所处理的 信息 等各方面。实施一次风险评估的范围可大可小,需要根据 具体评估需求确定 ,可以对组织全部的信息系统进行评估,也可以仅对 关键业务流程 进行评估,也可以对组织的 关键部门 的信息系统进行评估等。第 5章 信息安全风险评估实施流程5.1.3 组建 评估管理团队和评估实施团队在确定风险评估的目标、范围后,需要组建风险评估实施团队,具体执行组织的风险评估。由于风险评估涉及组织管理、业务、信息资产等各个方面,因此风险评估团队中除了 信息安全评估人员 的参与,以便更好地 了解组织信息安全状况 ,以利于风险评估的实施。第 5章 信息安全风险评估实施流程5.1.4 进行系统调研在确定了风险评估的目标、范围、团队后,要进行系统调研,并根据系统调研的结果决定评估将采用的评估方法等技术手段。系统调研内容包括:
