风险评估实施专项方案.docVIP

一、风险评定概述

1、风险服务关键性

对于构建一套良好信息安全系统，需要对整个系统安全风险有一个清楚认识。只有清楚了解了本身弱点和风险起源，才能够真正处理和减弱它，并以此来构建有着对性、合理有效安全策略，而风险评定既是安全策略计划第一步，同时也是实施其它安全策略必需前提。

近几年伴随几次计算机蠕虫病毒大规模肆虐攻击，很对用户网络全部遭受了不一样程度攻击，仔细分析就会发觉，几乎全部用户全部布署了防病毒软件和类似安全防护系统，越来越多用户发觉淡村安全产品已经不能满足现在安全防护体系需求了。

安全是整体体系建设过程，依据安全木桶原理，组织网络整个安全最大强度取决于最短最脆弱那根木头，所以说在安全建设过程中，假如不仔细找到最短那根木头，而盲目标在外面加钉子，并不能改善整体强度。

信息安全风险评定是信息安全保障体系建立过程中关键评价方法和决议机制，只有经过全方面风险评定，才能让用户对本身信息安全情况做出正确判定。

2、风险评定服务目标及其意义

信息安全风险是指人为或自然威胁利用信息系统及其团里体系中存在脆弱性造成安全事件发生及其对组织造成影响。

信息安全风险评定是指依据相关信息安全技术和管理标准，对信息系统及由其处理、传输和存放信息机密性、完整性和可用性等安全属性进行评价过程。她要评定资产面临威胁和威胁利用脆弱性造成安全事件可能性，并结合安全事件所包含资产价值来判定安全事件一旦发生对组造成影响。

信息安全风险评定是信息系统安全保障机制建立过程中一个评价方法，其结果为信息安全更显管理提供依据。

3、风险评定服务机制

在信息系统生命周期里，有很多个情况必需对信息系统所包含人员、技术环境、物理环境进行风险评定：

在设计计划或升级新信息系统时；

给现在信息系统增加新应用时；

在和其它组织（部门）进行网络互联时；

在技术平台进行大规模更新（比如，从Linux系统移植到Sliaris系统）时；

在发生计算机安全事件以后，或怀疑可能会发生安全事件时；

关心组织现有信息安全方法是否充足或食后含有对应安全效力时；

在组织含有结构变动（比如：组织合并）时：

在需要对信息系统安全情况进行定时或不定时聘雇、已查看是否满足组织连续运行需要时等。

4、风险评定服务收益

风险评定能够帮助用户：

正确了解租住信息安全现实状况；

明晰组织信息安全需求；

制订组织信息系统安全策略和风险处理方案；

指导组织未来信息安全建设和投入；

建立组织本身信息安全管理框架。

二、风险评定服务介绍

本企业遵照公认ISO27001、GB/T20984-信息安全风险评定规范和国际信息安全等级保护指南等安全标准知道风险评定工作，针对资产关键程度分别提供不一样频率和方法风险评定，帮助用户了解客观真实本身网络系统安全现实状况，计划适合自己网络系统环境安全策略，并依据科学合理安全策略来实施后续安全服务、选型和布署安全产品和建立有效安全管理规章制度，从而全方面完整处理可能存在多种风险隐患。

1、风险评定服务遵照标准

在整个评定过程中，本企业遵照和参考必威体育精装版、最权威信息安全标准，作为评定实施依据。这些安全标准包含：

安全技术标准：

GB17859：计算机信息系统安全保护等级划分准则

GB18336（ISO15408）：信息技术-安全技术-信息技术风险评定准则（等同于CommonCriteriaforInformationTechnologySecurityEvaluationV1.2，简称CCV1.2）

CVE：CommonVulnerabilities＆Exposures，通用脆弱性标准。CVE是个行业标准，为每个漏洞和弱点确定了惟一名称和标准化描述，能够称为评价响应入侵检测和漏洞扫描等工具产品和数据库基准

安全管理标准：

ISO/IEC27001:InformationTechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements，信息技术-安全技术-信息安全管理体系要求

ISO/IEC27005:InformationTechnology-Securityechniques-Informationsecurityriskmanagement，信息技术-安全技术-信息安全风险管理

GB/T22239-信息安全技术信息系统安全等级保护基础要求

信息安全等级保护信息系统安全管理要求（送审稿）

ISO13335，信息技术-安全技术-IT安全管理指南

GB/Z24364信息安全技术信息安全风险管理指南

风险评定实施方法：

GB/T20984-：信息安全风险评定规范（必威体育精装版国家标准）

NISTSP800-30：RiSkManage