风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
…
标签: 风险评估流程
信息安全风险评估项目工序与流程
by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!
一、项目启动
1.双方召开项目启动会议,确定各自接口负责人。
==工作输出
1.《业务安全评估相关成员列表》(包括双方人员)
2.《报告蓝图》
==备注
1.务必请指定业务实施负责人作为项目接口和协调人;列出人员的电话号码和电子邮件帐号以备联络。
CHINACISSP论坛的帖子:完整的风险评估流程.doc
正式进行具体安全评估首先进行的工作就是业务调查,通过调查客户信息系统上运行的所有业务和应用,了解主要业务的流程,清楚的掌握支持业务运行的网络系统基本结构和安全现状,收集评估所需的设备IP信息。结合业务调查的同时,还要对安全评估的评估范围进行分析界定。在这个阶段,一个明确定义了边界的系统对于防止不必要的工作及改进评估的质量都是很重要的。