新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全咨询

什么是信息安全风险评估?
2018-09-25 14:26:23

一、什么是信息安全风险评估


信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评估的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。


二、信息安全风险评估相关政策


国发[2018]27号《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》

五(二)“强化日常监管,加强安全态势感知分析,准确把握安全风险趋势,定期开展风险评估和压力测试,及时通报、整改问题,化解安全风险”。

国办函[2016]108号《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》

七(二)“‘互联网+政务服务’技术体系要遵循国家信息安全等级保护指南的要求,进行自身的资产界定归类、安全防范技术应用、安全检测及风险评估”。

发改委55号令《国家电子政务工程建设项目管理暂行办法》

第三十一条 “项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作”。


三、信息安全风险评估的意义


通过系统分析信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性所面临的威胁及其存在的脆弱性。提出有针对性的抵御威胁的防护对策和整改措施,防范和降低信息安全风险,将风险控制在可接受的水平,起到“防范于未然”的作用。


四、信息安全风险评估工作相关文件


依据标准

GB/T 20984-2007《信息安全技术 信息安全风险评估规范》

GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》


五、风险评估实施的基本原则


标准性原则

按照GB/T 20984-2007中规定的评估流程进行实施,包括各阶段的评估工作。

关键业务原则

以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络与系统,包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。

最小影响的原则

对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行。

可控性原则

严格按照标准的项目管理方法对服务过程、人员和工作等进行控制,以保障实施过程的可控和安全。


六、风险评估项目实施流程


商务阶段

评估合同

准备阶段

系统调研报告

风险评估技术方案

实施阶段

风险评估过程记录

漏洞扫描结果记录

渗透测试过程记录

已有安全措施确定

评估阶段

风险评估报告

风险处置

验收阶段

结项验收单


七、信息系统生命周期各阶段的风险评估


 ★ 规划阶段的风险评估

目前是识别系统的业务战略,以支撑系统安全需求及安全战略等。

 ★ 设计阶段和风险评估

需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。

 ★ 实时阶段的风险评估

目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。

 ★ 运行维护阶段的风险评估

目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。

 ★ 废弃阶段的风险评估

对由于系统废弃可能带来的新威胁进行分析,并改进新系统或管理模式。


八、风险评估的两种形式


自评估

是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。

检查评估

可检查评估是指信息系统上级管理部门组织或国家有关职能部门依法开展的风险评估。


安百科技

安百科技(北京)有限公司,应用安全新生态引领者,是一家专业从事创新型应用安全多维度检测、防御技术开发的高新技术企业。拥有为全国企事业单位和行业客户提供信息安全服务的能力,同时结合用户实际场景构建多维度安全态势感知平台,从而形成应用安全新生态的完整解决方案。在等级保护、安全评估、安全加固、安全咨询、安全培训等方面为客户解决了诸多难题,实现信息系统的动态和长期安全,保障企事业单位等各行业客户的根本利益。


  • 信息安全
  • 风险评估
  • 安百科技
  • 信息安全
  • 风险评估
  • 安百科技