@爆米花
2年前 提问
1个回答

信息安全风险评估的原则有哪些

一颗小胡椒
2年前

信息安全风险评估的原则有以下这些:

  • 标准性原则:评估信息系统的安全风险,应按照GB/T20984中规定的评估流程实施,并对各阶段的工作进行评估。

  • 关键业务原则:信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把设计这些业务的相关网络与系统,包括基础网络、应用基础平台、业务网络、业务应用平台等作为评估的重点。

  • 人员与信息可控性原则:所有评估的工作人员均应签署保密协议,以保证项目信息的安全;对工作过程中产生的中间数据和结果数据应进行严格管理,未经授权不得泄露给任何单位或个人。

  • 服务可控性原则:评估方应先在评估工作沟通会议中向用户介绍评估服务流程,明确用户需要提供的工作内容,确保整个安全评估服务工作的顺利进行。

  • 过程可控性原则:评估项目管理应依据项目管理方法,成立项目实施团队,执行项目组长负责制,达到项目过程的可控。

  • 最小影响原则:对在线业务系统的风险评估,应基于最小影响原则,保障业务系统的稳定运行;对需要进行攻击测试的工作内容,需要与用户沟通并进行应急备份,同时选择避开业务高峰时间进行。从项目管理层面和工具技术层面,力求将风险评估对系统正常运行的可能性影响降低到最低。