• <strike id="a3iqs"></strike>

      <progress id="a3iqs"><big id="a3iqs"></big></progress>

        風險評估

        風險評估

        通過對信息資產的識別與賦值、威脅評估、系統脆弱點評估、現有安全措施評估、綜合風險分析等若干環節,對電力行業信息系統的安全風險進行半定量分析,清晰的展現信息系統當前的安全現狀,明確信息系統每個層面上的安全隱患和脆弱性,同時提供公正、客觀、翔實的數據作為決策參考,為下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。

        1、什么是信息安全風險評估?

          風險評估服務是通過對信息資產的識別與賦值、威脅評估、系統脆弱點評估、現有安全措施評估、綜合風險分析等若干環節,對信息系統的安全風險進行半定量分析,清晰的展現信息系統當前的安全現狀,提供公正、客觀、翔實的數據作為決策參考,為下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。

        2、在實施了信息安全等級保護測評后,為什么還要進行信息安全風險評估?

          等級保護是一項針對信息系統進行分等級防護的信息安全管理制度。等級測評的目的決不僅僅是檢驗信息系統安全保護措施與安全標準的符合性,更大程度上是希望通過各類調研手段和測評技術手段,判斷信息系統的真實安全狀況,從而為信息系統的安全建設、整改、運行、維護提供依據。通過信息安全風險評估對信息系統的安全等級保護情況進行評估,依據已確定等級的相關保護要求,對系統的保護效果、潛在風險進行評估,從風險管理的角度有針對性地提出抵御威脅的安全等級防護對策和整改措施,從而最大限度地減少經濟損失和負面影響。

          作為信息系統的運營使用單位,在信息系統滿足等級保護標準要求的前提下,需要綜合考慮系統面向的安全風險和安全防護成本,做出消除風險、緩解風險、接受風險的不同決策,從而充分貫徹等級保護實施過程中的重點保護原則和動態調整原則。因此,風險評估是等級測評工作中的關鍵環節,風險評估的結果將作為等級測評最終結論的重要依據。

          因此,等級測評工作在等保符合性測評的基礎上,開展全面的信息系統安全風險評估,特別是對于檢驗發現的標準不符合項,更要充分評估對應的脆弱點和安全威脅,判斷系統安全風險的影響和可能性,全面掌控信息系統的風險狀況,從而提供安全決策支持。

        3、信息安全風險評估適用于哪些用戶?

        a、需要了解當前資產潛在風險的用戶;
        b、需要了解當前安全建設投入后實際效果的用戶;
        c、需要了解信息安全對業務系統影響程度的用戶;
        d、需要跟蹤信息安全延續性建設并獲取后續建設參考依據的用戶;
        e、需要了解當前資產實際脆弱性的用戶;
        f 、需要了解當前信息資產價值優先級的用戶等。

        4、信息安全風險評估的政策依據及標準依據?

          國家信息化領導小組《關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)將信息安全風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地,以及銀行、稅務、電力三個行業進行試點,根據試點經驗,各省市建立信息安全風險評估管理制度。

        a、GB/T 20984-2007《信息安全技術信息安全風險評估規范》
        b、GB/T 18336《信息技術 安全技術 信息技術安全性評估準則》
        c、GB 17859-1999《計算機信息系統安全保護等級劃分準則》
        d、GB/T 19716-2005《信息技術 信息安全管理適用規則》
        e、GB/T22080-2008《信息技術安全技術信息安全管理體系要求》
        f、GB/T22081-2008《信息技術安全技術信息安全管理實用規則》
        g、GB/T 20274《信息系統安全保障評估框架》

        5、信息安全風險評估包括哪幾個主要實施階段?

          風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。

        6、信息安全風險評估的結果形式是什么?

          風險評估服務可幫助用戶系統降低安全風險,具體將帶來以下價值:
        風險評估服務可以幫助用戶系統明確資產的配置和分布、業務運行模式、網絡體系結構、技術基礎結構、資產環境(周邊控制、安全措施)以及信息安全策略和制度等信息,準確了解企業的網絡和系統現狀。

          風險評估服務將全面給出用戶信息系統每個層面上的安全隱患和脆弱性報告,使用戶對信息安全各個層次的安全性狀況和整體安全狀況有全面具體的了解。
        風險評估從管理制度和安全控制措施等方面對用戶信息系統的安全問題進行分析評估,為用戶進行信息安全決策和管理提供依據,從而盡可能在安全事故爆發之前避免、減少或轉移風險。

          風險評估可以重點針對信息系統在符合性檢驗中所發現的標準不符合項,充分了解對應的脆弱點和安全威脅,判斷真實安全風險的影響和可能性,結合安全防護成本提供系統安全決策支持,充分貫徹等級保護實施過程中的重點保護原則和動態調整原則。

        7、信息安全風險評估的收費標準?

          根據評估對象的不同而不同。風險評估的對象可以是:單個獨立的信息系統、支持組織業務的整體信息處理環境、整個組織范圍。信息安全風險評估的費用主要依據以下幾個方面進行核算:

        a、網絡規模
        b、聯網單位或客戶端抽樣比例
        c、被評估系統的多少
        d、被評估信息設備的多少
        e、被評估的組織范圍大小

        乐都彩票