信息安全风险评估流程

一:信息安全风险评估的基本过程包括哪些阶段

确认风险评估方法,评定风险等级,形成风险评估报告

二:信息安全风险评估的基本要素有哪些

信息安全风险评估的基本过程主要分为: 1.风险评估准备过程 2.资产识别过程 3.威胁识别过程 4.脆弱性识别过程 5.风险分析过程 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。

三:如何办理信息安全风险评估服务资质认证

一、初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括:

服务资质认证申请书;

独立法人资格证明材料;

从事信息安全服务的相关资质证明;

工作保密制度及相应组织监管体系的证明材料;

与信息安全风险评估服务人员签订的保密协议复印件;

人员构成与素质证明材料;

公司组织结构证明材料;

具备固定办公场所的证明材料;

项目管理制度文档;

信息安全服务质量管理文件;

项目案例及业绩证明材料;

信息安全服务能力证明材料等。

二、关于认证依据:

对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

三、关于认证流程:

见《信息安全服务资质认证实施规则》(ISCCC-SV-001)及认证流程图。认证周期一般是10周,包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,不包括由于申请单位准备或补充材料的时间。

四:信息安全风险评估这个岗位具体是做什么事的呀.

网络信息安全工程师  随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据CNCERT/CC统计,2007 年上半年,CNCERT/CC 共发现8361 个境外控制服务器对我国大陆地区的主机进行控制。据美国计算机应急响应小组(CERT)发布的数据显示,2006年安全研究人员共发现了8064个软件漏洞,与2005年相比增加2074个。目前,许多企事业单位的业务依赖于信息系统安全运行,信息安全重要性日益凸显。信息已经成为各企事业单位中重要资源,也是一种重要的“无形财富”,在未来竞争中谁获取信息优势,谁就掌握了竞争的主动权。信息安全已成为影响国家安全、经济发展、社会稳定、个人利害的重大关键问题。  面对国家和社会的需求,信息产业部电子教育与考试中心启动实施“网络信息安全工程师高级职业教育(Network Security Advanced Career Education)”(简称NSACE)项目。其目标就是培养“德才兼备、攻防兼备”信息安全工程师,能够在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作。  NSACE项目总体目标是培养“德才兼备、攻防兼备”信息安全工程师,能够在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作。既要满足当前的信息安全工作岗位要求,又能使学员具备职业发展的潜力。打造具有“先进性、前瞻性、实用性、可操作性”职业教材,引领学员职业成长。NSACE项目各级培训目标分别描述如下:  1.初级目标  在本级别中,学员经过训练,能够担负起小型网络信息安全工作。对网络信息安全有较为完整的认识,掌握电脑安全防护、网站安全、电子邮件安全、Intranet网络安全部署、操作系统安全配置、恶意代码防护、常用软件安全设置、防火墙的应用等技能。  2.中级目标   在本级别中,学员得到充分专业训练,能完善和优化企业信息安全制度和流程。信息安全工作符合特定的规范要求,能够对系统中安全措施的实施进行了跟踪和验证,能够建立起立体式、纵深的安全防护系统,部署安全监控机制,对未知的安全威胁能够进行预警和追踪。  3.高级目标  在本级别中,学员能够针对安全策略、操作规程、规章制度和安全措施做到程序化、周期化的评估、改善和提升,能够组织建立本单位的信息安全体系。信息安全管理能够结合本单位的具体情况,制定合适的管理制度和流程,并能提出信息安全管理理念,推广到本单位中具体管理活动中。在技术能力上,对本单位的系统中安全措施能够总体上把关,掌握防护系统的脆弱性分析方法,能够提出安全防护系统的改进建议。熟悉信息安全行业标准和产品特性,熟悉信息安全技术发展动向,针对本单位信息安全需求,能够选择合适安全技术和产品

五:计算机的信息安全风险评估怎么写

我是信息安全专业的,希望下面的内容能对你有用,如果想写的比较全面,建议你综合考虑你们单位的实际情况,再进行资产的识别与估价、威胁的识别与评估这两方面的分析,如果只是为了应付,那么下面的内容再补充下改动下就OK了。

全风险评估是对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性的评估。风险评估也是确认安全风险及其大小的过程,即利用适当的风险评估工具和方法,确定资产风险等级和优先控制顺序。可从以下几方面进行信息安全评估:

1、风险评估应考虑的因素:

(1)信息资产及其价值;

(2)对这些资产的威胁,以及它们发生的可能性;

(3)脆弱性;

(4)已有的安全控制措施。

2、信息安全评估的步骤:

(1)按照组织业务运作流程进行资产识别,并根据估价原则对资产进行估价;

(2)根据资产所处的环境进行威胁评估;

(3)对应每一威胁,对资产或组织存在的脆弱性进行评估;

(4)对已采取的安全机制进行识别和确认;

(5)建立风险测量的方法及风险等级评价原则,确定础险的大小与等级。

3、风险评估时应考虑的为题:

在进行风险评估时,要充分考虑和正确区分资产、威胁与脆弱性之间的对应关系,即:

a.一项资产可能存在多个威胁;

b.威胁的来源可能不只一个,应从人员(包括内部和外部)、环境(如自然灾害)、资产本身(如设备故障)等方面加以考虑;

c.每一威胁可能利用一个或数个脆弱性。

六:如何高效地执行信息安全风险评估

在风险的评估与评价阶段,项目团队的成员应把绝大部分精力投入到风险项的识别和级别定义,除了依赖于执行者的信息安全评估的经验外,使用有效的方法论和工具方法对于提升执行效率和准确性也具有非常重要的意义。

1、建立有效的风险分析模型

在风险评估过程中,atsec所使用的风险分析模型会包括多个层面,以更有效地进行风险评价。模型方法如下: 风险发生的可能性 初步的控制措施 风险发生对客户业务的影响 风险发生对客户品牌的影响 风险发生对客户收益的影响   对于具体的分析过程,由评估人员基于访谈情况、渗透情况以及相关的信息输入,从品牌、收益和客户三方面的影响进行展开。每一选项的赋值基于方法论中的准则进行确定,下图为整个风险评估过程中,对数据库和应用系统存在威胁的评定示例:

2、使用半定量化的风险计算方法

因威胁本身具有不断变化和难以测量的性质,推荐明智地使用半定量化的测试方法。在具体的执行过程中,atsec的做法是通过对每个威胁的评估结果给出半定量的评级,并进一步通过风险计算方法使最终的评估结果更精确。因篇幅原因,在此不展开具体的风险计算方法。

3、使用自动化的风险计算工具

基于风险评估在执行过程中,atsec使用自有开发的计算工具,以最大程度上节省风险计算所占用的工作量。

4、最大限度地使用辅助工具

在对技术类威胁的评估过程中,如关键帐号和口令安全性,通过管理访谈方法通常难以做出准确的判断。atsec则会在类似的过程中尽最大限度地使用各种辅助工具和手段,比如密码安全性验证、服务器的技术漏洞等。

七:信息安全风险评估有什么意义

信息安全风险评估是信息系统安全的基础性工作。它是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程

八:信息安全风险评估的基本要素有哪些

可用性,完整性,保密性

扫一扫手机访问

发表评论