如对你有帮助,请购买下载打赏,谢谢!
广州海颐软件有限公司
信息安全风险评估指南
变更记录
编号:ISMS-3002状态:受控
编写:行政部2009年12月27日
审核:2009年12月28日
批准:2009年12月28日
发布版次:第A/0版2009年12月28日
生效日期2009年12月28日
变更日期版本变更说明编写审核批准
2010-01-21A/0初始版本行政部********
如对你有帮助,请购买下载打赏,谢谢!
信息安全风险评估指南
1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了
无锡新世纪信息科技有限公司的大力支持。
1.1政策法规:
?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
1.2国际标准:
?ISO/IEC17799:2005《信息安全管理实施指南》
?ISO/IEC27001:2005《信息安全管理体系要求》
?ISO/IECTR13335《信息技术安全管理指南》
1.3国内标准:
?《信息安全风险评估指南》(国信办综[2006]9号)
?《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月)
?GB17859—1999《计算机信息系统安全保护等级划分准则》
?GB/T183361-3:2001《信息技术安全性评估准则》
?GB/T5271.8--2001《信息技术词汇第8部分:安全》
?GB/T19715.1—2005《信息技术安全管理指南第1部分:信息技术安全概念和模型》
?GB/T19716—2005《信息安全管理实用规则》
1.4其它
?《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))
2、风险评估
2.1、风险评估要素关系模型
风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的
基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作
是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、
残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
风险评估要素关系模型
图中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战
略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁
发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越
大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;
资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;
安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了
安全措施后还会有残留下来的