数据安全评估如何做
数据安全评估的做法如下:
评估准备:依据GB/T20984- 2007《信息安全技术信息安全风险评估规范》,在风险评估实施前, 应确定风险评估的目标,确定评估范围,组建评估管理与实施团队,进行系统调研,确定评估依据和方法,制定评估方案,获得最高管理“者的支持。
识别并评价资产:依据GB/T 20984 -2007 《信息安全技术 信息安全风险评估规范》和信息安全风险评估的基本过程,对资产进行分类并按照资产的保密性、完整性和可用性进行赋值。
识别并评估危险:首先收集系统所面临的威胁,然后对威胁的来源和行为进行分析。威胁的收集主要是通过问卷调查、人员访谈、现场考察、查看系统工作日志以及安全事件报告或记录等方式进行,同时收集整个系统所发生的入侵检测记录。
识别并评估脆弱性:从技术和管理两方面对本项目的脆弱性进行评估。技术脆弱性主要是通过使用极光运程安合评估系统进行系统扫描。按照脆弱性工具使用计划,使用扫描工具对主机等设备进行扫描,查找主机的系统漏洞,数据库漏洞、共享资源以及帐户使用等安全问题,在进行工具扫描之后,结合威胁分析的内容,根据得出的原始记录,进行整体分析。按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理脆弱性。
分析可能性和影响:分析威胁发生的频率,威胁发生的频率需要根据威胁、脆弱性和安全措施来综合评价。分析脆弱性严重程度,脆弱性严重程发是指威胁一次成功地利用脆弱性后对组织造成的不期望的后来或损失的相对等级。
风险计算:建立资产、威胁和脆弱性关联,并给威胁发生的可能性及脆弱性严重程度赋值。
风险处理:内容依据风险评估结果,假设风险等级在4级以上不可接受,通过分析,发现不可接受风险。
编写信息安全风险评估报告:编写记录X义信息系统风险评估过程得到的所有结果的风险评估报告,完成对本系统的风险评估。