在企业进行技术和业务决策时,适当的IT风险评估可以帮助企业创造巨…
标签: 信息安全风险评估
信息安全风险评估项目工序与流程
by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!
一、项目启动
1.双方召开项目启动会议,确定各自接口负责人。
==工作输出
1.《业务安全评估相关成员列表》(包括双方人员)
2.《报告蓝图》
==备注
1.务必请指定业务实施负责人作为项目接口和协调人;列出人员的电话号码和电子邮件帐号以备联络。
通过风险评估掌握当前的安全状况
一、 前言
风险评估的极端重要性已经越来越被用户认同。在2000-2001年,大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试;在2001-2002年,多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估;从2002年开始,许多行业用户对全面风险评估提出了要求。
二、 标准与理论
我们在风险评估实践中,主要参考了BS 7799(ISO/IEC 17799)、ISO/IEC 15408-1999(等同GB/T 18336-2001)、ISO/IEC 13335、SSE-CMM等标准。另外,我们也参考了GB 17859-1999《计算机信息系统安全保护等级划分准则》、中国信息安全产品测评认证中心《信息系统安全保障等级评估准则》、公安部《信息系统安全等级保护评估指南》、GB9361-88《计算机场地安全要求》,以及CAV公共漏洞和暴露标准、CRAMM/OCTAVE/ …等标准和法规。
…
《GB/T20984-2007信息安全风险评估规范》下载
GB/T20984-2007 信息安全风险评估规范 下载: GB…
信息安全风险评估与安全预算
我国信息化建设的不断加速,政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处,随着各部门对信息系统不断增长的依赖性,信息系统的脆弱性日益暴露,安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注,安全预算也逐年提高,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证组织的信息安全,本文期待和读者一同讨论。
信息安全风险评估介绍 信息安全风险评估内容和过程
风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
李飚:企业风险评估要分三步走
编者按:很多企业的决策者已经明白宕机对业务会造成巨大影响,但是,令人惊讶的是相当多企业主管在重视某些关键核心业务流程的同时,对这些核心业务流程毫无保护的风险缺乏严格的评估、量化和全面计划……
今天,商业运作越来越依赖于信息技术和信息系统,数据正成为每个企业的重要资产之一。在中国,绝大多数企业或者机关很愿意花费大量资金堆砌起各自的信息系统,但缺乏的是主观上由“人”所构成的知识体系。