信息系統風險評估包含哪些內容

信息安全等級高級測評師 CISP-PTE

最佳答案

信息安全風險評估主要內容依據國家標準GB/T20984-2007，應至少包括：

資產識別

項目	簡要描述
資產數據采集	確定信息系統的資產
資產分類識別	根據資產使用模式、訪問點等屬性，對其進行分類
資產賦值	根據資產在保密性、完整性和可用性方面的損失所引發的業務影響程度，對其價值進行估值

威脅識別

物理脆弱性識別

網絡脆弱性識別

項目	簡要描述
網絡拓撲結構	從接入方式、子網劃分、入侵檢測措施等方面進行脆弱性識別
網絡通訊基礎設施	從訪問控制措施、遠程維護、審計策略等方面進行脆弱性識別
網絡數據傳輸安全體系	從SSL協議配置、傳輸安全機制等方面進行脆弱性識別
網絡安全基礎設施	從訪問控制措施、遠程維護、審計策略等方面進行脆弱性識別

系統脆弱性識別

項目	簡要描述
操作系統系統	從系統維護方式、口令策略、網絡服務配置等方面進行脆弱性識別
應用服務器系統	從系統維護方式、口令策略、系統資源配置等方面進行脆弱性識別
數據庫服務器系統	從訪問控制策略、用戶配置、審計策略等方面進行脆弱性識別

應用脆弱性識別

管理脆弱性識別

項目	簡要描述
組織機構	從崗位設置、人員配置、審核等方面進行脆弱性識別
人員管理	從人員錄用離崗、文檔資料等方面進行脆弱性識別
制度管理	從總體方針和安全策略、制度的修訂和發布等方面進行脆弱性識別
安全策略	從總體安全策略、測試與驗收策略、備份與恢復策略等方面進行脆弱性識別
系統建設	從工程實施、項目變更、系統交付等方面進行脆弱性識別
系統運維	從網絡安全管理、病毒和惡意代碼管理、密碼管理等方面進行脆弱性識別

已有安全措施優先性識別

項目	簡要描述
預防性措施	識別威脅利用脆弱性導致安全事件發生的可能性
保護性措施	識別減少安全事件發生后對組織或系統造成的影響

風險分析

項目	簡要描述
風險值計算	采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性
風險結果判定	量化風險，風險處理計劃，殘余風險評估

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論

回答數量: 3

高級測評師 CISM-WSE

風險評估的主要內容包括三個方面：基于資產的估值與分析、資產本身存在的脆弱性的識別與分析、資產受到的威脅識別以及它的影響與可能性分析。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論

CISP-PTE CISM-WSE

信息安全風險評估是參照風險評估標準和管理規范，對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析，判斷安全事件發生的概率以及可能造成的損失，提出風險管理措施的過程。風險評估的內容：

對風險本身的界定。包括風險發生的可能性；風險強度；風險持續時間；風險發生的區域及關鍵風險點。
對風險作用方式的界定。包括風險對企業的影響是直接的還是間接的；是否會引發其他的相關風險；風險對企業的作用范圍等。
對風險后果的界定。在損失方面：如果風險發生，對企業會造成多大的損失？如果避免或減少風險，企業需要付出多大的代價？在冒風險的利益方面：如果企業冒了風險，可能獲得多大的利益？如果避免或減少風險，企業得到的利益又是多少？

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論