國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構(gòu)
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
ISMS建設(shè)過程中,信息安全風(fēng)險評估是其最主要的技術(shù)路線和ISMS建設(shè)效果評估的依據(jù),。在信息安全領(lǐng) 域,,信息安全風(fēng)險評估也形成了諸多國際標準和國內(nèi)標準。本文所涉及的內(nèi)容主要是《信息安全風(fēng)險評估規(guī)范》 等國家標準,。以下就相關(guān)內(nèi)容做一個簡要描述,。
信息安全風(fēng)險評估包括四個主要方面的內(nèi)容,即資產(chǎn)識別,、威脅識別,、脆弱性識別和風(fēng)險評估。風(fēng)險評估的最主要環(huán)節(jié)是資產(chǎn)識別,、威脅識別和脆弱性識別,。下面就其含義作一個簡介:
①資產(chǎn)識別
安全的目的始終都是保障組織業(yè)務(wù)的正常運行。因此,,資產(chǎn)識別的過程就是將組織的業(yè)務(wù)工作這個抽象的概 念逐步分解成定性,、定量的資產(chǎn)安全性分析,或者說將組織的業(yè)務(wù)安全映射成資產(chǎn)的安全,,使得我們能夠科學(xué)的 把握組織的業(yè)務(wù)安全需求及其變化,。資產(chǎn)識別包括資產(chǎn)分類和資產(chǎn)賦值兩個環(huán)節(jié)。
②威脅識別
與資產(chǎn)識別相類似,,威脅識別分為威脅分類和威脅賦值兩個環(huán)節(jié),。
③脆弱性識別
與資產(chǎn)識別和威脅識別略有不同,脆弱性識別分為脆弱性發(fā)現(xiàn),、脆弱性分類,、脆弱性驗證和脆弱性賦值等四 個環(huán)節(jié)。表2.1是脆弱性分類表
類型 | 識別對象 | 識別內(nèi)容 |
技術(shù)脆弱性 | 物理環(huán)境 | 從機房場地,、機房防火,、機房供配電、機房防靜電,、機房接地與防雷,、電磁防護、通信線路的保護,、機房區(qū)域防護,、機房設(shè)備管理等方面進行識別 |
網(wǎng)絡(luò)結(jié)構(gòu) | 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 、邊界保護、外部訪問控制策略,、內(nèi)部訪問控制策略,、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別 | |
系統(tǒng)軟件 | 從補丁安裝、物理防護,、用戶帳號,、口令策略、資源共享,、事件審計,、訪問控制、新系統(tǒng)配置,、注冊表加固、網(wǎng)絡(luò)安全,、系統(tǒng)管理等方面進行識別 | |
應(yīng)用中間件 | 從協(xié)議安全,、交易完整性、數(shù)據(jù)完整性等方面進行識別 | |
應(yīng)用系統(tǒng) | 從審計機制,、審計存儲,、訪問控制策略、數(shù)據(jù)完整性,、通信,、鑒別機制、密碼保護等方面進行識別 | |
管理脆弱性 | 技術(shù)管理 | 從物理和環(huán)境安全,、通信與操作管理,、訪問控制、系統(tǒng)開發(fā)與維護,、業(yè)務(wù)連續(xù)性等方面進行識別 |
組織管理 | 從安全策略,、組織安全、資產(chǎn)分類與控制 ,、人員安全,、符合性等方面進行識別 |
在對一個信息系統(tǒng)進行了資產(chǎn)識別、威脅識別和脆弱性識別的基礎(chǔ)上,,人們可以對信息系統(tǒng)的綜合風(fēng)險等級 進行賦值,,見表2.2:
等級 | 標識 | 描述 |
5 | 很高 | 一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響,如組織信譽嚴重破壞,、嚴重影響組織的正常運營,,經(jīng)濟損失重大,社會影響惡劣 |
4 | 高 | 一旦發(fā)生會產(chǎn)生較大的經(jīng)濟或社會影響,,在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害 |
3 | 中等 | 一旦發(fā)生會造成一定的經(jīng)濟,、社會或生產(chǎn)經(jīng)營影響,但影響面和影響程度不大 |
2 | 低 | 一旦發(fā)生造成的影響程度較低,一般僅限于組織內(nèi)部,,通過一定手段很快能解決 |
1 | 很低 | 一旦發(fā)生造成的影響幾乎不存在,,通過簡單的措施就能彌補 |
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信