鼎铉商用密码测评技术(深圳)有限公司
0755-89669007

背景介绍

随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估方法去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度, 提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。

风险评估的目的

信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。

参考依据

国外相关规范标准:

ISO 31000:2017 《风险管理原则与指南》

ISO 13335     《信息技术 IT安全管理指南》

NIST SP 800-30 《信息技术系统风险管理指南》

COBIT 5:企业IT治理和管理之业务框架

国内现行政策法规与规范标准:

GB/T 20984-2015 《信息安全技术 信息安全风险评估规范》

GB/T 18336-2015 《信息技术 安全技术 信息技术安全评估准则》

GB/T 22239      《信息安全技术 网络安全等级保护基本要求》

GB/Z 24364-2009 《信息安全技术 信息安全风险管理指南》

GB/T 31509-2015 《信息安全技术 信息安全风险评估指南》

GB/T 33132-2016 《信息安全技术 信息安全风险处置实施指南》

GB/T 31722-2015 《信息技术 安全技术 信息安全风险管理》

其他行业标准或规范

风险评估模型

                  

风险评估流程


Copyright ©  2017-2018 鼎铉商用密码测评技术(深圳)有限公司 版权所有 粤ICP备17155850号-1