信息安全風險評估的基本概念

1. 風險評估：指在風險事件發生之前或之后（但還沒有結束），對該事件給人們的生活、生命和財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即風險評估就是量化測評某一事件或事物帶來的影響和損失。

2. 從信息安全的角度來講，風險評估是對信息資產（即某事件或事物所具有的信息集）所面臨對的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性評估。

3. 風險評估過程中需要考慮幾個問題：

1）要確定保護的對象（或者資產）是什么？它的直接價值和間接價值如何？

2）資產面臨哪些潛在威脅？導致威脅的問題是什么？威脅發生的可能性有多大？

3）資產中存在哪些弱點可能會被威脅或利用？利用的容易程度又如何？

4）一旦發生威脅事件，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

5）組織應該采取怎樣的安全措施才能將風險帶來的損失降到低程度？

解決以上問題的過程，就是風險評估的過程。

4. 在進行風險評估時，需要考慮幾個對應關系：

1）每項資產可能面臨多種威脅。

2）威脅源（威脅代理）可能不止一個。

3）每種威脅可能利用一個或多個弱點。

二、信息安全風險評估工作概述

1. 幾種比較典型的標準

1）CC標準

3）ISO/IEC 21827：2002（SSE-CMM）

2. 風險評估的原則

1）小影響原則：風險評估過程中應該盡可能小的影響系統和網絡的正常運行，不能對現網的運行和業務的正常提供產生顯著影響。

2）可控性原則：風險評估的方法和過程要在雙方認可的范圍之內，風險評估的進度要按照進度表進度的安排，保證被評估方對于風險評估的控性。

3）整體性原則：風險評估內容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患。

4）標準性原則：風險評估實施方案的設計和實施應依據國內或國際的相關標準進行。

5）規范性原則：風險評估工作中的過程和文檔要具有很好的規范性，以便于項目的跟蹤和控制。

6）保密原則：應對風險評估的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害被評估方的行為。

3. 風險評估的相關術語

1）資產：任何對組織有價值的事件。

2）可用性：需要時，授權實體可以訪問和使用的特性。

3）保密性：信息不可用或不被泄露給未授權的個人、實體和過程的特性。

4）信息安全：保護信息的保密性、完整性、可用性及其他屬性，如真實性、可核查性、可靠性和防抵賴性。

5）信息安全事件：指識別出發生的系統、服務或者網絡事件表明可能違反信息安全策略或防護措施失效，或以前未知的與安全相關的情況。

6）信息安全事故：指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可能對業務運營遭橫嚴重影響或威脅信息安全。

7）信息安全管理體系：指一個或系列非期望的或非預期的信息安全事件，這些信息安全事件可能對業務運營造成嚴重影響或威脅信息安全。

8）完整性：保護資產的正確和完整的特性。

9）殘余風險：實施風險處置之后仍舊殘留的風險。

10）風險接受：接受風險的決策。

11）風險分析：系統地使用信息以識別來源和估計風險。

12）風險評估：風險分析和風險評價的全過程。

13）風險評價：將估計的風險與既定的風險準則進行對比，以確定重要風險的過程。

14）風險管理：指導和控制一個組織的風險協調的活動。

15）風險處置：選擇和實施措施以改變風險的過程。

16）適用性聲明：與組織ISMS相關并適用于組織ISMS的控制目標和控制措施的文件化陳述。

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、4川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆

WX:一三三+++++4二捌伍++++++二伍一捌

主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、合作申請（即掛名）、高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518