信息安全風(fēng)險(xiǎn)評(píng)估的基本概念
1. 風(fēng)險(xiǎn)評(píng)估:指在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒(méi)有結(jié)束),對(duì)該事件給人們的生活、生命和財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響和損失。
2. 從信息安全的角度來(lái)講,風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨對(duì)的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性評(píng)估。
3. 風(fēng)險(xiǎn)評(píng)估過(guò)程中需要考慮幾個(gè)問(wèn)題:
1)要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么?它的直接價(jià)值和間接價(jià)值如何?
2)資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問(wèn)題是什么?威脅發(fā)生的可能性有多大?
3)資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅或利用?利用的容易程度又如何?
4)一旦發(fā)生威脅事件,組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?
5)組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降到低程度?
解決以上問(wèn)題的過(guò)程,就是風(fēng)險(xiǎn)評(píng)估的過(guò)程。
4. 在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),需要考慮幾個(gè)對(duì)應(yīng)關(guān)系:
1)每項(xiàng)資產(chǎn)可能面臨多種威脅。
2)威脅源(威脅代理)可能不止一個(gè)。
3)每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)。
二、信息安全風(fēng)險(xiǎn)評(píng)估工作概述
1. 幾種比較典型的標(biāo)準(zhǔn)
1)CC標(biāo)準(zhǔn)
3)ISO/IEC 21827:2002(SSE-CMM)
2. 風(fēng)險(xiǎn)評(píng)估的原則
1)小影響原則:風(fēng)險(xiǎn)評(píng)估過(guò)程中應(yīng)該盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不能對(duì)現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。
2)可控性原則:風(fēng)險(xiǎn)評(píng)估的方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi),風(fēng)險(xiǎn)評(píng)估的進(jìn)度要按照進(jìn)度表進(jìn)度的安排,保證被評(píng)估方對(duì)于風(fēng)險(xiǎn)評(píng)估的控性。
3)整體性原則:風(fēng)險(xiǎn)評(píng)估內(nèi)容應(yīng)當(dāng)整體全面,包括安全涉及的各個(gè)層面,避免由于遺漏造成未來(lái)的安全隱患。
4)標(biāo)準(zhǔn)性原則:風(fēng)險(xiǎn)評(píng)估實(shí)施方案的設(shè)計(jì)和實(shí)施應(yīng)依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
5)規(guī)范性原則:風(fēng)險(xiǎn)評(píng)估工作中的過(guò)程和文檔要具有很好的規(guī)范性,以便于項(xiàng)目的跟蹤和控制。
6)保密原則:應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,不得利用此數(shù)據(jù)進(jìn)行任何侵害被評(píng)估方的行為。
3. 風(fēng)險(xiǎn)評(píng)估的相關(guān)術(shù)語(yǔ)
1)資產(chǎn):任何對(duì)組織有價(jià)值的事件。
2)可用性:需要時(shí),授權(quán)實(shí)體可以訪問(wèn)和使用的特性。
3)保密性:信息不可用或不被泄露給未授權(quán)的個(gè)人、實(shí)體和過(guò)程的特性。
4)信息安全:保護(hù)信息的保密性、完整性、可用性及其他屬性,如真實(shí)性、可核查性、可靠性和防抵賴(lài)性。
5)信息安全事件:指識(shí)別出發(fā)生的系統(tǒng)、服務(wù)或者網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效,或以前未知的與安全相關(guān)的情況。
6)信息安全事故:指一個(gè)或系列非期望的或非預(yù)期的信息安全事件,這些信息安全事件可能對(duì)業(yè)務(wù)運(yùn)營(yíng)遭橫嚴(yán)重影響或威脅信息安全。
7)信息安全管理體系:指一個(gè)或系列非期望的或非預(yù)期的信息安全事件,這些信息安全事件可能對(duì)業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響或威脅信息安全。
8)完整性:保護(hù)資產(chǎn)的正確和完整的特性。
9)殘余風(fēng)險(xiǎn):實(shí)施風(fēng)險(xiǎn)處置之后仍舊殘留的風(fēng)險(xiǎn)。
10)風(fēng)險(xiǎn)接受:接受風(fēng)險(xiǎn)的決策。
11)風(fēng)險(xiǎn)分析:系統(tǒng)地使用信息以識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。
12)風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。
13)風(fēng)險(xiǎn)評(píng)價(jià):將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行對(duì)比,以確定重要風(fēng)險(xiǎn)的過(guò)程。
14)風(fēng)險(xiǎn)管理:指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)協(xié)調(diào)的活動(dòng)。
15)風(fēng)險(xiǎn)處置:選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過(guò)程。
16)適用性聲明:與組織ISMS相關(guān)并適用于組織ISMS的控制目標(biāo)和控制措施的文件化陳述。
服務(wù)區(qū)域:廣東省、廣州(天河、蘿崗開(kāi)發(fā)區(qū)、黃埔開(kāi)發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云)、珠海市、中山市、江門(mén)市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽(yáng)市、陽(yáng)江市
全國(guó)各省、市、自治區(qū):廣東省、海南省、福建省、湖南省、4川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆
WX:一三三+++++4二捌伍++++++二伍一捌
主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)(建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷次檢測(cè))、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目(安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、***檢查、代碼審計(jì))、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)(安防工程檢測(cè))、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估)、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車(chē)充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可(即原來(lái)的:民用無(wú)人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無(wú)人機(jī)多旋翼駕駛員培訓(xùn)、無(wú)人機(jī)研發(fā)生產(chǎn)銷(xiāo)售、無(wú)人機(jī)合作辦學(xué)、無(wú)人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書(shū)、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)(安裝)證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過(guò)程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作(即掛名)、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、合作申請(qǐng)(即掛名)、高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、加急、集成電路布圖專(zhuān)有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告(軟件項(xiàng)目驗(yàn)收鑒定報(bào)告)、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518
如有計(jì)劃辦的企業(yè),可協(xié)助解決企業(yè)人員問(wèn)題,可咨詢(xún)我們,v---x:133----四二捌五----2518
