@邪恶贝壳
2年前 提问
1个回答

信息安全风险管理的过程

Andrew
2年前

信息安全风险管理的过程如下:

  1. 确定影响范围:影响范围是指评估对象涉及的传播影响,按评估对象支持的用户数计。对于运营于互联网上的应用系统,根据涉及资金不同分为五个等级。

  2. 确定威胁:威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险。为了便于对不同威胁发生的可能性概率数据进行类比、度量,依据经验或专家意见进行赋值,等级为一到五级,五级最高。

  3. 确定脆弱性:脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值,采用相对等级的方式进行度量,等级值为1-3,1为最低,3为最高。

  4. 计算风险值:风险计算公式为风险值等于影响范围乘以威胁可能性乘以脆弱严重性,根据风险计算公式得出风险值后可以对应其风险等级,如风险值在55-75分,表示风险极高

  5. 评估结论:评估报告以风险计算得分形式呈现,即不仅呈现脆弱性问题,并且对于不符合评估标准的项,根据面临威胁赋值和脆弱性赋值,结合评估对象的影响范围计算出风险得分,依据得分给出风险等级(极高、高、中、低、极低)。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值>0时,须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时,必须纳入整改事项严格贯彻执行,并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段,根据业务上线后的经营发展情况适时开展安全评估,以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组,对“评估结论”进行审核,通过后出具评审结论。