信息安全风险评价何为信息安全风险评价.pptVIP

9.5 涉密信息系统风险评级与处置 * 评测结果判据 评测项目分为基本要求项和一般要求项 基本要求项?高风险 一般要求项?低风险 检测项目结果判据 如果一个大项中所有小项均为“合格”，则该大项为“合格” 如果一个大项中“不合格”的小项超过40%，则该大项为“不合格” 除上述以外的其他情况，均为“基本合格” 9.5 涉密信息系统风险评级与处置 * 评测结果判据 检测结论判据 基本要求项中有一个大项“不合格”，检测结论“不合格” 基本要求项中60%（含）“合格”，其他基本要求项为“基本合格”，且一般要求项中60%以上（含）“合格”，检测结论即为“合格” 除上述两种情况以外的其他情况，检测结论即为“基本合格” 9.5 涉密信息系统风险评级与处置 * 评测结果判据 检测意见、专家评估意见与评测结论的关系 检测意见认为“不合格”，待整改复测后，再召开专家评估会进行评估 检测意见认为“合格”，专家评估意见为“基本合格”，则评测结论为“基本合格” 检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后，再给出评测结论 9.5 涉密信息系统风险评级与处置 * 风险处置 检测意见为“不合格”，即表示存在风险 需要针对评测项目，采取相应的技术或非技术措施进行专项整治，切实降低风险。风险处置后，需要重新评估，直至达标为止 风险处置需要注意 目的是降低风险，使残余风险在可接受的范围之内即可 要