趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
- 評估準備
依據GB/T20984- 2007《信息安全技術信息安全風險評估規范》,在風險評估實施前, 應確定風險評估的目標,確定評估范圍,組建評估管理與實施團隊,進行系統調研,確定評估依據和方法,制定評估方案,獲得最高管理“者的支持。
- 識別并評價資產
依據GB/T 20984 -2007 《信息安全技術 信息安全風險評估規范》和第7章信息安全風險評估的基本過程,對資產進行分類并按照資產的保密性、完整性和可用性進行賦值。
- 識別并評估危險
首先收集系統所面臨的威脅,然后對威脅的來源和行為進行分析。威脅的收集主要是通過問卷調查、人員訪談、現場考察、查看系統工作日志以及安全事件報告或記錄等方式進行,同時收集整個系統所發生的入侵檢測記錄。
- 識別并評估脆弱性
從技術和管理兩方面對本項目的脆弱性進行評估。技術脆弱性主要是通過使用極光運程安合評估系統進行系統掃描。按照脆弱性工具使用計劃,使用掃描工具對主機等設備進行掃描,查找主機的系統漏洞,數據庫漏洞、共享資源以及帳戶使用等安全問題,在進行工具掃描之后,結合威脅分析的內容,根據得出的原始記錄,進行整體分析。按照各種管理調查表的安全管理要求對現有的安全管理制度及其執行情況進行檢查,發現其中的管理脆弱性。
- 分析可能性和影響
分析威脅發生的頻率,威脅發生的頻率需要根據威脅、脆弱性和安全措施來綜合評價。
分析脆弱性嚴重程度,脆弱性嚴重程發是指威脅一次成功地利用脆弱性后對組織造成的不期望的后來或損失的相對等級。
- 風險計算
建立資產、威脅和脆弱性關聯,并給威脅發生的可能性及脆弱性嚴重程度賦值。
- 風險處理
內容依據風險評估結果,假設風險等級在4級以上不可接受,通過分析,發現不可接受風險。
- 編寫信息安全風險評估報告
最后,編寫記錄X義信息系統風險評估過程得到的所有結果的風險評估報告,完成對本系統的風險評估。
推薦文章
