随着Internet 网的发展,企业上网在我国也成了一种趋势,虽然企业上网的原因各种各样,有的是政府行为,有的是企业自发的行为,但是不可否认的是几年来企业上网的层次也有所变化。在 Internet发展的初期阶段,企业上网的含义指的是企业有自己的主页,但很快人们发现这种层次对企业深层次的环节如生产、销售、营销并没有什么太大的促进作用,于是企业慢慢地过渡到比较高的层次,建立自己的网站与局域网,并且与 Internet连接,使企业的上下游伙伴及驻地机构、办事处都能实时了解企业的信息,即过渡到了电子商务的初级阶段。企业内部网也打开了通往 Internet的一个窗口,企业在享受 Internet带来的好处的同时,也面临着一定程序的风险,因为 Internet上存在很多的危险。
标签: 风险评估
CHINACISSP论坛的帖子:完整的风险评估流程.doc
正式进行具体安全评估首先进行的工作就是业务调查,通过调查客户信息系统上运行的所有业务和应用,了解主要业务的流程,清楚的掌握支持业务运行的网络系统基本结构和安全现状,收集评估所需的设备IP信息。结合业务调查的同时,还要对安全评估的评估范围进行分析界定。在这个阶段,一个明确定义了边界的系统对于防止不必要的工作及改进评估的质量都是很重要的。
风险评估中哪个步骤最棘手?
【TT中国原创】问:风险评估中哪个步骤最棘手?
答:风险评估是一个复杂的话题,超出了这几段文字能够覆盖的范围。但是,风险评估是信息安全的核心。
为了保证一个系统的安全,你必须要确定这个系统的风险等级。系统的风险等级越高,就越需要保护。你不想把你的信息安全预算花在保护一个低风险的系统上,你要把信息安全预算花在高风险的系统上,例如,那些存储了敏感的用户数据或者处理金融交易的系统。虽然这些观点听起来好像是常识,但是,能够恰当地评估风险的机构并不多,结果不分青红皂白地浪费了它们的预算和资源,没有很好地保护它们最敏感的IT资产,过多地保护了价值很低的资产……
安络科技-网络安全风险评估系统
网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。通过扫描某个网络内的主机后,再进行智能分析,得到该网络的安全状况分析图表,以及每个机器的详细的安全登记评估图表。它提供全面详细的分析报告,报告中的内容包括漏洞信息、漏洞主机信息、危险级别、修补建议等,并提供安全补丁供应商的热连接,以保证快速及时的修补漏洞。
天融信TopSec安全风险评估服务
天融信风险评估服务可帮助组织完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,有利于组织对信息系统实施风险管理。经过精细的风险评估,企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。
提供的风险评估服务,依据国际、国内及不同行业的标准,按照信息资产价值、弱点被利用的难易程度、威胁的可能性、影响的严重性、风险值五个要素对组织的信息系统进行风险评估。
天融信安全风险评估涉及客户信息系统的多个层面。
但不同客户根据需求的不同,其安全风险评估的实际过程也需要进行裁减或调整。
思福迪信息安全风险评估管理软件(自评估软件)
思福迪信息安全风险评估管理软件(IAS)是由上海市信息安全测评认证中心自主设计、开发的管理信息系统软件。杭州思福迪信息技术有限公司是IAS浙江省唯一合作伙伴。该软件以《信息安全风险评估指南》国家标准为基准,将风险评估的整个工作流程划分为资产识别、脆弱性识别、威胁识别、风险分析与计算、数据管理等几个模块,模块与模块之间功能衔接紧密,数据逻辑清晰;软件具有的统计功能直观地体现了评估对象的整体风险状况。
信息安全风险评估软件设计、开发目的在于实现将现有的信息安全风险评估操作,完全借助以计算机完成。从前期的资产识别到最后的报表输出,系统都应有相应的功能模块加以实现,力求实现以“委托评估”向“自评估”的转变。 该软件针对系统运行单位实施自评估的实际需求,集成了有关资产、威胁、薄弱点等方面较为详尽的知识库,可以有效指导和帮助系统运行单位实施的风险自评估工作。
该软件通过了国家权威专家的评审,并在同行单位中得到了应用。认为:“不仅可以帮助专业风险评估机构实施评估,而且方便了信息系统所有者自己实施评估”、“具有创新性、实用性和推广价值。” 2005年9月,上海测评中心向中国国家软件版权中心申请了信息安全风险评估管理软件(IAS)的著作权登记 (登记号2005SR11108)。
《GB/T20984-2007信息安全风险评估规范》下载
GB/T20984-2007 信息安全风险评估规范 下载: GB…
信息安全风险评估与安全预算
我国信息化建设的不断加速,政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处,随着各部门对信息系统不断增长的依赖性,信息系统的脆弱性日益暴露,安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注,安全预算也逐年提高,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证组织的信息安全,本文期待和读者一同讨论。
信息安全风险评估介绍 信息安全风险评估内容和过程
风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
减少内部人员网络安全风险的10种方法
如今内部人员给公司的安全造成的威胁非同小可。近来的一些报告指出,内部人员对公司的损害在所有的危害事件中已从80%上升为86%,而且超过半数发生在雇员的终端。无疑,拥有访问公司系统权限的内部雇员极有可能被误导到那些欺诈性的或危险的链接上。而在所有的雇员中,IT工作人员拥有的这种访问权限最多。因此,IT审核应关注从多个方面确认风险。下面我们给出实施有关控制和减少工作人员对管理员欺诈的方法。
李飚:企业风险评估要分三步走
编者按:很多企业的决策者已经明白宕机对业务会造成巨大影响,但是,令人惊讶的是相当多企业主管在重视某些关键核心业务流程的同时,对这些核心业务流程毫无保护的风险缺乏严格的评估、量化和全面计划……
今天,商业运作越来越依赖于信息技术和信息系统,数据正成为每个企业的重要资产之一。在中国,绝大多数企业或者机关很愿意花费大量资金堆砌起各自的信息系统,但缺乏的是主观上由“人”所构成的知识体系。