1楼:百度用户
要按信息安全风险评估国家标准要求来做。
标准名:
信息安全风险评估规范
什么是信息安全风险评估?
2楼:广州万方安全
一、定义
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的bs7799、iso17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强,而且存在无处不在的安全威胁和风险,从组织自身业务的需要和法律法规的要求的角度考虑,更加需要增强对信息风险的管理。风险评估是风险管理的基础,风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动,使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上,选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状,确定信息系统的主要安全风险,是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤:
步骤1:描述系统特征
步骤2:识别威胁(威胁评估)
步骤3:识别脆弱性(脆弱性评估)
步骤4:分析安全控制
步骤5:确定可能性
步骤6:分析影响
步骤7:确定风险
步骤8:对安全控制提出建议
步骤9:记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。
在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?
出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?
并总是试图找出最合理的答案。这一过程实际上就是风险评估。
实验室风险评估时应注意哪些问题
3楼:智障班班长
应注意的问题包括以下内容:
1、风险评估主要包括以下内容:
(1)是责任机制建设和落实情况。
(2)是基本设施运**况。
(3)是安全知识、操作规范培训情况。
(4)是管理制度建立和运**况。
(5)是废弃危险化学品处置情况;对于搬迁实验室,是否彻底清查原有的危险物品,并严格按照国家有关要求及时处理,消除各种安全隐患。
(6)是应急预案建立情况。
2、评估范围包括在京各高校所属国家实验室、国家重点实验室、教育部重点实验室和学校一般实验室等各级、各类科研平台基地和教学实验室,共涉及35所高校。
扩展资料
相关注意事项
(1)观察被审计单位的生产经营活动。
观察被审计单位人员正在从事的生产活动和内部控制活动,可以增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。
(2)检查文件、记录和内部控制手册。
检查被审计单位的章程,与其他单位签订的合同、协议,各业务流程操作指引和内部控制手册等,了解被审计单位组织结构和内部控制制度的建立健全情况。
(3)阅读由管理层和治理层编制的报告。
阅读被审计单位年度和中期财务报告,股东大会、董事会会议、高级管理层会议的会议记录或纪要,管理层的讨论和分析资料,经营计划和战略,对重要经营环节和外部因素的评价,被审计单位内部管理报告以及其他特殊目的报告等,了解自上一审计结束至本期审计期间被审计单位发生的重大事项。
4楼:仙人掌的忧伤
实验室防火安全:
1、实验室内必须存放一定数量的消防器材,消防器材必须放置在便于取用的明显位置,指定专人管理,全体人员要爱护消防器材,并且按要求定期检查更换。
2、实验室内存放的一切易燃、易爆物品(如氢气、氮气、氧气等)必须与火源、电源保持一定距离,不得随意堆放。使用和储存易燃、易爆物品的实验室,严禁烟火。
3、不得乱接乱拉电线,不得超负荷用电,实验室内不得有裸露的电线头,严禁用金属丝代替保险丝;电源开关箱内不得堆放物品。
4、电器设备和线路、插头插座应经常检查,保持完好状态,发现可能引**花、短路、发热和绝缘破损、老化等情况必须通知电工进行修理。电加热器、电烤箱等设备应做到人走电断。
信息安全风险评估包括哪些?
5楼:匿名用户
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
6楼:匿名用户
一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
一、信息安全风险评估的基本过程主要分为:
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
二、信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。
7楼:匿名用户
一、信息安全风险评估的基本过程主要分为:
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
二、信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。
8楼:匿名用户
1,信息安
全风险评估(information security risk asses**ent)是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
2,信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。
信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
3,信息安全风险评估包括资产重要性等级、威胁识别、威胁分类、威胁赋值、脆弱性赋值、已有安全措施确认、风险分析、风险评估记录等。
9楼:慕容暖沁
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。
10楼:匿名用户
按照nist开发的一套执行风险评估的指导(出版在《sp800-30修订版1》文档中),风险评估可以按照如下步骤开展
1)评估准备
2)进行评估
识别威胁源和事件
识别威胁和诱发条件
确定发生的可能性
确定影响的大小
确定风险
3)沟通结果
4)维持评估
11楼:匿名用户
一、iso27001信息
安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(iso)也发布了iso17799、iso13335、iso15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准iso2700:
2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在bsi/disc的bdd/2信息安全管理委员会指导下制定完成。iso27001标准于1993年由英国**工业部立项,于1995年英国首次出版bs 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。iso2700:2005-1与iso2700:
2005-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,iso2700:2005-1:
1999《信息安全管理实施细则》通过了国际标准化组织iso的认可,正式成为国际标准-----iso/iec17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,iso2700:
2005-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时iso2700:2005-2:
1999被废止。现在,iso2700:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
目前除英国之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对iso2700:2005标准感兴趣,我国的台湾、香港也在推广该标准。许多国家的**机构、银行、**、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。
截至2002年9月,全球共有142家各类组织通过了iso2700:2005信息安全管理体系认证。
什么是信息安全风险评估,信息安全风险评估包括哪些?
1楼 匿名用户 风险评估是对信息及信息处理设施的威胁 影响 脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内...
为什么进行信息安全风险评估,信息安全风险评估有什么意义
1楼 为保证信息安全,需要开展风险评估,评价,然后排队,针对性采取措施。进行信息安全风险评估是重要一步。 2楼 广州万方安全 信息安全风险评估,主要目的是让企业了解被测评的信息系统的网络安全现状。一般来说企业高层或者行业主管部门出于一些公司制度或者法律规定,会要求企业进行信息安全风险评估,这个风险评...
安全风险评估有几种方法ab表,安全风险识别和评估的方法有哪些
1楼 ofweek人才网 安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估,并以既定指数 等级或概率值作出定量的表示,最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程 系统可能存在的危险性及其可能产...