@ner
2年前 提问
3个回答
信息系统风险评估包含哪些内容
delay
2年前
风险评估的主要内容包括三个方面:基于资产的估值与分析、资产本身存在的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析。
Andrew
2年前
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。风险评估的内容:
对风险本身的界定。包括风险发生的可能性;风险强度;风险持续时间;风险发生的区域及关键风险点。
对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的;是否会引发其他的相关风险;风险对企业的作用范围等。
对风险后果的界定。在损失方面:如果风险发生,对企业会造成多大的损失?如果避免或减少风险,企业需要付出多大的代价?在冒风险的利益方面:如果企业冒了风险,可能获得多大的利益?如果避免或减少风险,企业得到的利益又是多少?
安全小白成长记
2年前
官方采纳
信息安全风险评估主要内容依据国家标准GB/T20984-2007,应至少包括:
资产识别
项目 | 简要描述 |
---|---|
资产数据采集 | 确定信息系统的资产 |
资产分类识别 | 根据资产使用模式、访问点等属性,对其进行分类 |
资产赋值 | 根据资产在保密性、完整性和可用性方面的损失所引发的业务影响程度,对其价值进行估值 |
威胁识别
项目 | 简要描述 |
---|---|
威胁数据采集 | 确定信息系统每项资产所面临的的安全威胁 |
威胁分类识别 | 根据威胁来源,对标识出的威胁进行分类 |
威胁赋值 | 根据威胁发生的可能性和频度对其进行估价 |
物理脆弱性识别
项目 | 简要描述 |
---|---|
环境 | 从场地、供电、监控等环境方面进行脆弱性识别 |
系统 | 从设备标识、标记、布局等方面进行脆弱性识别 |
设备 | 从系统备份、设备管理、性能管理的等方面进行脆弱性识别 |
网络脆弱性识别
项目 | 简要描述 |
---|---|
网络拓扑结构 | 从接入方式、子网划分、入侵检测措施等方面进行脆弱性识别 |
网络通讯基础设施 | 从访问控制措施、远程维护、审计策略等方面进行脆弱性识别 |
网络数据传输安全体系 | 从SSL协议配置、传输安全机制等方面进行脆弱性识别 |
网络安全基础设施 | 从访问控制措施、远程维护、审计策略等方面进行脆弱性识别 |
系统脆弱性识别
项目 | 简要描述 |
---|---|
操作系统系统 | 从系统维护方式、口令策略、网络服务配置等方面进行脆弱性识别 |
应用服务器系统 | 从系统维护方式、口令策略、系统资源配置等方面进行脆弱性识别 |
数据库服务器系统 | 从访问控制策略、用户配置、审计策略等方面进行脆弱性识别 |
应用脆弱性识别
项目 | 简要描述 |
---|---|
系统设计安全性识别 | 从应用程序设计、工程实现等方面进行脆弱性识别 |
业务功能脆弱性识别 | 从业务逻辑、功能实现等方面进行脆弱性识别 |
系统工程实现脆弱性识别 | 从系统工程设计与实现、安全功能等方面进行脆弱性识别 |
管理脆弱性识别
项目 | 简要描述 |
---|---|
组织机构 | 从岗位设置、人员配置、审核等方面进行脆弱性识别 |
人员管理 | 从人员录用离岗、文档资料等方面进行脆弱性识别 |
制度管理 | 从总体方针和安全策略、制度的修订和发布等方面进行脆弱性识别 |
安全策略 | 从总体安全策略、测试与验收策略、备份与恢复策略等方面进行脆弱性识别 |
系统建设 | 从工程实施、项目变更、系统交付等方面进行脆弱性识别 |
系统运维 | 从网络安全管理、病毒和恶意代码管理、密码管理等方面进行脆弱性识别 |
已有安全措施优先性识别
项目 | 简要描述 |
---|---|
预防性措施 | 识别威胁利用脆弱性导致安全事件发生的可能性 |
保护性措施 | 识别减少安全事件发生后对组织或系统造成的影响 |
风险分析
项目 | 简要描述 |
---|---|
风险值计算 | 采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性 |
风险结果判定 | 量化风险,风险处理计划,残余风险评估 |