风险评估的实施过程包括信息安全风险评估准备、资产识
别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个
阶段。

风险评估准备,随后进行资产识别,威胁识别,脆弱性识别。三个识别通过后进行已有安全措施的确认,随后进入风险分析:风险分析前准备评估过程文档,然后风险计算再准备评估过程文档。风险是否接,是的就保存已有的控制措施,最终实施风险管理。选择否的则要选择适当的控制措施并评估残余风险,再是否接受残余风险,否的就再选择适当的控制措施。接受的残余风险并做出评估结果文档,实施风险管理。

最重要的是懂风险评估的基本流程:资产识别(七大资产)、威胁识别、脆弱性识别、不可接受风险处理计划

脆弱性与威胁是一对多、多对多的,就是说一个脆弱性可能有多个威胁,一般做的时候先识别完脆弱性再对就识别威胁

资产识别小组职责:
负责资产的识别工作,并向项目负责人提交《资产识别表》、《重要资产赋值表》。
威胁识别小组职责:
负责对资产进行威胁识别工作,并向项目负责人提交《资产威胁识别表》。
脆弱性识别小组职责:
负责对资产进行脆弱性识别工作,并向项目负责人提交《脆弱性汇总表》。
风险分析小组职责:
项目负责人兼任该组组长,由项目负责人组织各相关人员,在对资产进行安全措施有效性确认的基础上进行风险分析,形成最终的风险评估报告,并向最高管理者代表提交报告,由最高管理者代表确认。
应急响应小组职责:
负责针对风险评估过程制定应急工作预案,在出现的意外情况时进行应急响应。

资产识别
资产识别小组参考《深圳市信息安全风险评估实施指南》分类列明评估范围内的各项资产,对资产的重要性程度赋值,筛选出重要资产,并对重要资产的信息安全三性(保密性、完整性、可用性)进行赋值。
主要从以下7类资产进行识别:硬件/软件/文档和数据/业务应用/人力资源/物理环境/组织管理
实施方法主要是风险评估小组工作人员召开会议讨论。

威胁识别
威胁识别小组参考《深圳市信息安全风险评估实施指南》,分类列明重要资产可能面临的威胁。
实施方法主要是威胁识别小组查阅防火墙和IDS的日志,并结合以往的安全事件记录,开会讨论资产面临的威胁。

转载于:https://www.cnblogs.com/86ss/p/10857585.html

信息安全风险评估实施相关推荐

  1. 计算机风险评估管理程序,第5章 信息安全风险评估实施流程

    <第5章 信息安全风险评估实施流程>由会员分享,可在线阅读,更多相关<第5章 信息安全风险评估实施流程(25页珍藏版)>请在人人文库网上搜索. 1.第第5章章 信息安全风险信息 ...

  2. 安全管理之风险评估实施步骤

    启动准备: 1.参考标准:<GB-T20984-2007 信息安全风险评估规范><深圳市信息安全风险评估实施指南> 2.启动大会-<风险评估启动会议纪要> 3.信息 ...

  3. 【信息安全】信息安全风险评估-实践指南

    自从上一次的文章后,有三个月的时候没有对工作总结了:对,三个月的事件正好遇上了互联网的大裁员......一直忙于找工作,现在总算安稳下来,根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指 ...

  4. 完全解密企业信息安全风险评估

    当前,无论是政府还是企业,对于自身的信息安全都非常关注.因此,企业信息安全风险评估再一次引起了业界的关注.那么,此类评估有什么标准?对企业的价值又体现在何处呢? 认识存在的风险 长期以来,人们对保障信 ...

  5. 计算机网络信息安全风险评估准则,计算机网络信息安全风险评估标准与方法研究...

    摘要: 随着计算机多媒体技术.互联网技术的快速发展和改进,其已经在电子政务.电子商务.金融证券.通信运营等领域得到了广泛的应用,取得了显著的成效.在计算机网络为人们工作.生活和学习带来极大便利的同时, ...

  6. 关于信息安全风险评估,你需要知道的

    什么是信息安全风险评估? 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值.潜在威胁.薄弱环节.已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施 ...

  7. ISMS信息安全风险评估与等保测评的主要活动内容

    ISMS信息安全风险评估的主要活动如下图所示: 等保测评的主要活动内容:

  8. 信息安全风险评估流程

    信息安全风险评估流程<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /&g ...

  9. 什么是信息安全风险评估?企业如何做?

    什么是信息安全风险评估? 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值.潜在威胁.薄弱环节.已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施 ...

最新文章

  1. java 死循环排查_java应用死循环排查方法或查找程序消耗资源的线程方法(面试)...
  2. 【Immutable】拷贝与JSON.parse(JSON.stringify()),深度比较相等与underscore.isEqual(),性能比较...
  3. 【做题】uoj#370滑稽树上滑稽果——巧妙dp
  4. mysql存储过程的学习(mysql提高执行效率之进阶过程)
  5. uniapp弹出框_uni-app 弹出框插件 模态框 小程序dialog
  6. idea中tomcat不能发布html,idea中Tomcat无法启动成功
  7. 天线工作原理以及如何计算天线长度
  8. 前端JSON格式化显示
  9. 《时间的玫瑰》书中的精髓:知名投资人但斌眼中的价值投资是什么?我们如何秉承价值投资的原则选择有价值的股票?
  10. ThrustMaster HOTAS WARTHOG飞行摇杆评测
  11. 若依分离版部署遇到的问题
  12. python - 图像处理 - 图片拼接和堆叠
  13. 面试-JVM-类加载-类加载器--自定义类加载器-JVM调优
  14. mysql在test库中创建表stu_数据库mysql练习
  15. Sublime Text 3安装及常用插件安装
  16. 十八.用户注册 ---- 用户名/用户密码/手机号验证 2021-04-07
  17. 面试被问Mysql没答上来?阿里P5:总结了55道常见面试题,收藏一波
  18. 利用JS实现QQ好友的分组展开功能
  19. 人工智能课程怎么学?
  20. 科幻成真!AI只凭音频生成逼真语音;用Python生成LaTeX数学公式;正则表达式提效宝库;NeurIPS教程;前沿论文 | ShowMeAI资讯日报

热门文章

  1. LeetCode Algorithm 1052. 爱生气的书店老板
  2. 面试题64. 求1+2+…+n
  3. 迈克尔逊干涉仪的调整与使用实验报告
  4. Codeforces Round #552 (Div. 3) —— B. Make Them Equal
  5. 排序算法 —— 插入排序
  6. 【STM32】RTC相关函数和类型
  7. python 项目管理_【Python基础(十三)】文件的操作(II)
  8. 用java程序操作hadoop,intellij IDEA和maven的使用
  9. Caffe源码解析—核函数
  10. java 局部性原理_程序局部性原理