| 规 格: |
型 号: |
数 量: |
| 品 牌: |
包 装: |
价 格:面议 |
信息安全风险评估的基本概念 1. 风险评估:指在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命和财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响和损失。 2. 从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临对的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性评估。 3. 风险评估过程中需要考虑几个问题: 1)要确定保护的对象(或者资产)是什么?它的直接价值和间接价值如何? 2)资产面临哪些潜在威胁?导致威胁的问题是什么?威胁发生的可能性有多大? 3)资产中存在哪些弱点可能会被威胁或利用?利用的容易程度又如何? 4)一旦发生威胁事件,组织会遭受怎样的损失或者面临怎样的负面影响? 5)组织应该采取怎样的安全措施才能将风险带来的损失降到低程度? 解决以上问题的过程,就是风险评估的过程。 4. 在进行风险评估时,需要考虑几个对应关系: 1)每项资产可能面临多种威胁。 2)威胁源(威胁代理)可能不止一个。 3)每种威胁可能利用一个或多个弱点。 二、信息安全风险评估工作概述 1. 几种比较典型的标准 1)CC标准 3)ISO/IEC 21827:2002(SSE-CMM) 2. 风险评估的原则 1)小影响原则:风险评估过程中应该尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响。 2)可控性原则:风险评估的方法和过程要在双方认可的范围之内,风险评估的进度要按照进度表进度的安排,保证被评估方对于风险评估的控性。 3)整体性原则:风险评估内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。 4)标准性原则:风险评估实施方案的设计和实施应依据国内或国际的相关标准进行。 5)规范性原则:风险评估工作中的过程和文档要具有很好的规范性,以便于项目的跟踪和控制。 6)保密原则:应对风险评估的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害被评估方的行为。 3. 风险评估的相关术语 1)资产:任何对组织有价值的事件。 2)可用性:需要时,授权实体可以访问和使用的特性。 3)保密性:信息不可用或不被泄露给未授权的个人、实体和过程的特性。 4)信息安全:保护信息的保密性、完整性、可用性及其他属性,如真实性、可核查性、可靠性和防抵赖性。 5)信息安全事件:指识别出发生的系统、服务或者网络事件表明可能违反信息安全策略或防护措施失效,或以前未知的与安全相关的情况。 6)信息安全事故:指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营遭横严重影响或威胁信息安全。 7)信息安全管理体系:指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。 8)完整性:保护资产的正确和完整的特性。 9)残余风险:实施风险处置之后仍旧残留的风险。 10)风险接受:接受风险的决策。 11)风险分析:系统地使用信息以识别来源和估计风险。 12)风险评估:风险分析和风险评价的全过程。 13)风险评价:将估计的风险与既定的风险准则进行对比,以确定重要风险的过程。 14)风险管理:指导和控制一个组织的风险协调的活动。 15)风险处置:选择和实施措施以改变风险的过程。 16)适用性声明:与组织ISMS相关并适用于组织ISMS的控制目标和控制措施的文件化陈述。 服务区域:广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云)、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市 全国各省、市、自治区:广东省、海南省、福建省、湖南省、4川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆 WX:一三三+++++4二捌伍++++++二伍一捌 主要业务为软件产品测试、电子产品检测、安防产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、雷电防护装置检测(建筑防雷装置检测、防雷定期检测、防雷次检测)、通信网防御雷电安全保护检测、移动通信基站防雷检测、地理信息系统软件测试、数字社区应用软件测评、 建设领域软硬件测评、软件安全性测试、软件验收项目(安全、性能、验收测试、渗透测试、漏洞扫描、***检查、代码审计)、广东省安全技术防范系统设计、施工、维修资格备案证业绩检测(安防工程检测)、信息化项目技术绩效评估(网站或系统绩效评估)、政务信息化项目效能评估、信息系统安全等级保护备案证明、信息系统安全等保报告、网络安全等保测评、信息系统安全等保测评、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工能、工业互联网)、广东省守合同重企业、通用航空经营许可(即原来的:民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计(安装)证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作(即挂名)、科学技术奖申请、合作申请(即挂名)、高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告(软件项目验收鉴定报告)、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518 如有计划办的企业,可协助解决企业人员问题,可咨询我们,v---x:133----四二捌五----2518
|
