颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISMS信息安全风险评估

    来源: 网络
    日期: 2021-06-25
    浏览次数: 117

    ISMS建设过程中,信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。在信息安全领域,信息安全风险评估也形成了诸多国际标准和国内标准。本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。以下就相关内容做一个简要描述。

    信息安全风险评估包括四个主要方面的内容,即资产识别、威胁识别、脆弱性识别和风险评估。它们之间的关系如图2.3所示:

    ISMS信息安全风险评估ISMS信息安全风险评估

    在图2.3中,风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。下面就其含义作一个简介:

    ①资产识别

    安全的目的始终都是保障组织业务的正常运行。因此,资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析,或者说将组织的业务安全映射成资产的安全,使得我们能够科学的把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。

    ②威胁识别

    与资产识别相类似,威胁识别分为威胁分类和威胁赋值两个环节。威胁识别的方法形象地讲就是“植树、剪枝、统计”,见图2.4:

    ISMS信息安全风险评估

    ③脆弱性识别

    与资产识别和威胁识别略有不同,脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。表2.1是脆弱性分类表

    类型识别对象识别内容
    技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别
    网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别
    系统软件从补丁安装、物理防护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别
    应用中间件从协议安全、交易完整性、数据完整性等方面进行识别
    应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别
    管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别
    组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别

    在对一个信息系统进行了资产识别、威胁识别和脆弱性识别的基础上,人们可以对信息系统的综合风险等级进行赋值,见表2.2:

    等级标识描述
    5很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣
    4一但发生会产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害
    3中等一但发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大
    2一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决
    1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开