信息安全風(fēng)險評估
信息安全風(fēng)險管理依據(jù)等級保護(hù)的思想和適度安全的原則,平衡成本與效益,合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,確定合適的安全措施,從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。
依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見》(國信辦[2006]5號)、GB/T 20984-2007 《信息安全風(fēng)險評估規(guī)范》等標(biāo)準(zhǔn)規(guī)范,進(jìn)行信息系統(tǒng)安全保障能力級的符合性測評。
風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。
現(xiàn)場評估實(shí)施結(jié)束后,評估小組根據(jù)測評指導(dǎo)書各個評估項的結(jié)果記錄進(jìn)行評估分析,匯總評估結(jié)果,并進(jìn)行整體評估分析,從而形成合理、可信任的評估結(jié)論,最后完成評估報告的編制及建議。