专业服务 Our Service

当前位置:主页 > 安全服务 > 信息安全风险评估

  信息安全风险评估
 
  信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
 
  信息安全风险评估的基本过程主要分为:
 
  1.风险评估准备过程
 
  2.资产识别过程
 
  3.威胁识别过程
 
  4.脆弱性识别过程
 
  5.安全措施识别与确认
 
  6..风险分析阶段
 
  7风险消减与风险控制
 
  风险评估依据标准及法规
 
  《信息安全风险评估指南》
 
  《信息系统安全等级保护测评准则》
 
  《信息系统安全等级保护基本要求》
 
  《信息系统安全保护等级定级指南》(试用版v3.2)
 
  《计算机机房场地安全要求》(GB9361-88)
 
  《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002) 《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
 
  《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
 
  《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002) 《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
 
  《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)