信息安全風(fēng)險(xiǎn)評(píng)估概述

信息安全風(fēng)險(xiǎn)評(píng)估概述

ID:44980194

大?。?54.51 KB

頁(yè)數(shù):8頁(yè)

時(shí)間:2019-11-06

信息安全風(fēng)險(xiǎn)評(píng)估概述_第1頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估概述_第2頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估概述_第3頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估概述_第4頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估概述_第5頁(yè)
資源描述:

《信息安全風(fēng)險(xiǎn)評(píng)估概述》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、1、風(fēng)險(xiǎn)評(píng)估概述1.1風(fēng)險(xiǎn)評(píng)估概念信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風(fēng)險(xiǎn)管理措施的過(guò)程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作,逐漸過(guò)渡到目前普遍采用國(guó)際標(biāo)準(zhǔn)的BS7799、ISO17799、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)因素、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。1.2風(fēng)險(xiǎn)

2、評(píng)估相關(guān)資產(chǎn),任何對(duì)組織有價(jià)值的事物。威脅,指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。例如,組織的網(wǎng)絡(luò)系統(tǒng)可能受到來(lái)自計(jì)算機(jī)病毒和黑客攻擊的威脅。脆弱點(diǎn),是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點(diǎn)。如員工缺乏信息安全意思,使用簡(jiǎn)短易被猜測(cè)的口令、操作系統(tǒng)本身有安全漏洞等。風(fēng)險(xiǎn),特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn),導(dǎo)致資產(chǎn)的丟失或損害餓潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估,對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱點(diǎn)及三者發(fā)生的可能性評(píng)估。風(fēng)險(xiǎn)評(píng)估也稱為風(fēng)險(xiǎn)分析,就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程,即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,包括定性和定量的方法,去頂資產(chǎn)風(fēng)險(xiǎn)等級(jí)和

3、優(yōu)先控制順序。1、風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀2.1信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展第一階段(60-70年代)以計(jì)算機(jī)為對(duì)象的信息保密階段1067年11月到1970年2月,美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特公司(MITIE)及其它和國(guó)防工業(yè)有關(guān)的一些公司對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究,分析。作為第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。特點(diǎn):僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問(wèn)題提出要求,對(duì)安全的評(píng)估只限于保密性,且重點(diǎn)在于安全評(píng)估,對(duì)風(fēng)險(xiǎn)問(wèn)題考慮不多。第二階段(80-90年代)以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息系統(tǒng)安全保護(hù)階段評(píng)估對(duì)象多為產(chǎn)品,很少延拓至系統(tǒng),嬰兒在嚴(yán)格意義上扔不是全面的風(fēng)險(xiǎn)評(píng)估。第三階段(

4、90年代末,21世紀(jì)初)以信息系統(tǒng)為對(duì)象的信息保障階段隨著信息保障的研究的深入,保障對(duì)象明確為信息和信息系統(tǒng);保障能力明確來(lái)源于技術(shù)、管理和人員三個(gè)方面;逐步形成了風(fēng)險(xiǎn)評(píng)估、自評(píng)估、認(rèn)證認(rèn)可的工作思路。2.2我國(guó)風(fēng)險(xiǎn)評(píng)估發(fā)展●2002年在863計(jì)劃中首次規(guī)劃了《系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究》課題●2003年8月至2010年在國(guó)信辦直接指導(dǎo)下,組成了風(fēng)險(xiǎn)評(píng)估課題組●2004年,國(guó)家信息中心《風(fēng)險(xiǎn)評(píng)估指南》,《風(fēng)險(xiǎn)管理指南》●2005年全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn)●在試點(diǎn)和調(diào)研基礎(chǔ)上,由國(guó)信辦會(huì)同公安部,安全部,等起草了《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》征求意見(jiàn)稿●2006年,所有的部

5、委和所有省市選擇1-2單位開(kāi)展本地風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作●2015年,國(guó)家能源局根據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家發(fā)展和改革委員會(huì)令2014年第14號(hào))制定了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國(guó)能安全[2015]36號(hào))等安全防護(hù)方案和評(píng)估方案,其中相關(guān)規(guī)定明確風(fēng)險(xiǎn)評(píng)估在電力系統(tǒng)中的需要●2017年7月,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布,其中第二章第十七條“國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè),鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)”。明確了需要社會(huì)廣泛參與服務(wù)。1、風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型2、風(fēng)險(xiǎn)評(píng)估流程●確定資產(chǎn)評(píng)估范圍●資產(chǎn)的識(shí)別和影響●威脅識(shí)別●脆弱性評(píng)

6、估●威脅分析●風(fēng)險(xiǎn)分析●風(fēng)險(xiǎn)管理3、風(fēng)險(xiǎn)評(píng)估原則●符合性原則●標(biāo)準(zhǔn)性原則●規(guī)范性原則●可控性原則●保密性原則●整體性原則●重點(diǎn)突出原則●最小影響原則1、評(píng)估依據(jù)的標(biāo)準(zhǔn)和規(guī)范?GB/T20984-2007?《信息安全技術(shù)?信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》?《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(發(fā)改委14號(hào)令)?《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》(國(guó)能安全[2015]36號(hào))?GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》?ISO/IEC27001:2005《信息安全管理體系標(biāo)準(zhǔn)》?GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等

7、級(jí)保護(hù)基本要求》?GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》?GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》?《電力行業(yè)信息安全等級(jí)保護(hù)基本要求》(電監(jiān)信息[2012]62號(hào))?《關(guān)于開(kāi)展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(電監(jiān)信息[2007]34號(hào))?《電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》(電監(jiān)信息[2007]44號(hào))1、風(fēng)險(xiǎn)評(píng)估的發(fā)展方向8.1風(fēng)險(xiǎn)評(píng)估行業(yè)發(fā)展方向從2003年7月至今,我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作大致經(jīng)歷了三個(gè)階段,

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。