您好,歡迎訪問中保天和!

今天:2019年09月14日

咨詢熱線:010 - 84264757

首頁
專項服務
解決方案
新聞中心
政策規范
技術前沿
專家視角

我司通過各種資源,力邀行業內的權威專家對時代熱點和相關政策法規進行解讀,站在信息行業的制高點,描繪行業的宏偉藍圖,促進行業的健康發展。 以專家的視角,用事實說話,力求前瞻性和權威性,為企業和個人的發展提供參考依據

關于我們

咨詢熱線:

010-84264757

中保天和1
中保天和2

關注中保天和官方微信

首頁 >專項服務 >安全風險評估

0

信息安全風險評估簡要介紹

信息安全風險評估

      信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用于IT領域時,就是對信息安全的風險評估。

      風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法,充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

風險評估相關

       資產,任何對組織有價值的事物。

       威脅,指可能對資產或組織造成損害的事故的潛在原因。例如,組織的網絡系統可能受到來自計算機病毒和黑客攻擊的威脅。

      脆弱點,是指資產或資產組中能背威脅利用的弱點。如員工缺乏信息安全意思,使用簡短易被猜測的口令、操作系統本身有安全漏洞等。

      風險,特定的威脅利用資產的一種或一組薄弱點,導致資產的丟失或損害餓潛在可能性,即特定威脅事件發生的可能性與后果的結合。

      風險評估,對信息和信息處理設施的威脅、影響和脆弱點及三者發生的可能性評估。

      風險評估也稱為風險分析,就是確認安全風險及其大小的過程,即利用適當的風險評估工具,包括定性和定量的方法,去頂資產風險等級和優先控制順序。

信息安全現狀

      伴隨著信息技術的飛速發展,我國高校信息化建設不斷取得新的成果,高校信息的安全是學校正常運行的保證。據統計,100%的一類重點本科高校擁有校園網,10%以上的高校已經開始建設數字化校園。各個院校對網絡和信息系統的依賴程度越來越大,同時面臨的信息安全問題也更加復雜化,如何在有限的人力、物力、財力條件下最大限度保障信息安全是每個院校面臨的共同問題。因此,對高校進行信息安全風險評估勢在必行。

風險評估目的

      風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能的危害,為系統最終安全需求的提出提供依據。準確了解組織的網絡和系統安全現狀。

風險評估工作組織管理

       為了更好的了解信息安全狀況,根據《信息安全風險評估指南》和GB/T 20984-2007 《信息安全技術 信息安全風險評估規范》要求,總體評估信息化建設風險。

風險評估工作過程



風險評估步驟

風險評估依據標準及法規

      《信息安全風險評估指南》

      《信息系統安全等級保護測評準則》

      《信息系統安全等級保護基本要求》

      《信息系統安全保護等級定級指南》(試用版v3.2)

      《計算機機房場地安全要求》(GB9361-88)

      《計算機信息系統安全等級保護網絡技術要求》(GA/T387-2002) 《計算機信息系統安全等級保護操作系統技術要求》(GA/T388-2002)

      《計算機信息系統安全等級保護數據庫管理系統技術要求》(GA/T389-2002)

《計算機信息系統安全等級保護通用技術要求》(GA/T390-2002) 《計算機信息系統安全等級保護管理要求》(GA/T391-2002)

      《計算機信息系統安全等級保護劃分準則》(GB/T17859-1999)

綜合評價和建議

       綜合評價

       (一)應用科學的方法,針對確定的對象,進行認真仔細的風險分析,同時進 行合理的風險判斷。盡管機房運行風險的基本情況已在附表中羅列,但是在實際工作中必須進行具體的風險分析,才能制定出切合實際的防范對策。

       (二)確立風險預先處置理念。通過分析機房運行風險可以發現,對機房運行風險要區別對待,因此筆者提出機房運行風險預先處置的理念,即通過科學的防范措施,盡可能避免一級風險的發生,減少二、三級風險的發生。

防范建議

      風險轉移。將一些可以預見但發生概率較低的風險,通過購買保險、設備維修外包等形式,轉移給保險公司和機房設備服務商。如購買財產保險,可將機房風險(機房建筑物風險、火災風險等)轉移給保險公司;通過機房設備外包的方式,可將UPS、精密空調等設備故障風險轉移給設備維修服務公司。

      科學監控。機房保障系統的運行故障大部分有一個從量變到質變的過程,機房設備的使用壽命也有一定的規律可循,而且機房設備的運行故障必定有其特定的原因。因此,通過健全科學的實時監控措施,對發生故障隨機性強的機房保障系統進行長期實時檢測,通過對采集的運行參數進行有機分析,可以及時采取有效的規避風險的措施。由實時監控系統組成的預警系統,可以對其監控的設備進行運行狀態檢測、運行異常警告、運行故障原因分析,從而達到防范運行故障和及時處置風險的目的。

      制訂應急方案。應對運行風險的目標,是盡可能避免發生運行風險,一旦發生風險就要做到快速反應、快速恢復。要制訂一整套科學有效的機房運行風險應急方案,包括如何啟動風險處置的報告體系、組建負責人力資源調動和現場協調指揮的組織機構、安排負責處置風險的各方面專業技術人員等內容。制訂應急方案時要特別注意實用性,其基本原則是方案要分門別類、描述要直觀明確、處置方法要準確詳盡,以確保方案能起到較好應急的效果。

      總之,高度重視機房運行保障的重要性,客觀地認知機房運行規律,科學地應對機房運行風險,不斷探索和掌握機房運行維護技術,有效提高機房保障管理水平,就能最大限度地規避機房運行風險,為各種計算機應用系統提供可靠保證。

qq空间快乐8 大星彩票安卓 天天捕鱼电玩城官网 玩时时彩或北京赛车投注赚钱吗 08年制造业怎么赚钱 没钱怎么来赚钱吗 宁波做公寓楼赚钱么 路由器赚钱宝共享 李逵劈鱼游戏机 为啥苹果比安卓app赚钱多 济南麻将app下载 魔兽世界法师 小编自媒体真的赚钱吗 做恒指很赚钱吗 钢材业务员赚钱 千炮彩金捕鱼下载免费 成都麻将怎么摸