风险评估实施方案.pptx

学 海 无 涯 一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统，需要对整个系统的安全风险有一个清晰 的认识。只有清晰的了解了自身的弱点和风险的来源，才能够真正的解决和削弱 它，并以此来构建有着对性的、合理有效的安全策略，而风险评估既是安全策略 规划的第一步，同时也是实施其他安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击，很对用户的网络都遭受 了不同程度的攻击，仔细分析就会发现，几乎所有的用户都部署了防病毒软件和 类似的安全防护系统，越来越多的用户发现淡村的安全产品已经不能满足现在的 安全防护体系的需求了。 安全是整体的体系建设过程，根据安全的木桶原理，组织网络的整个安全最 大强度取决于最短最脆弱的那根木头，所以说在安全建设的过程中，如果不仔细 的找到最短的那根木头，而盲目的在外面加钉子，并不能改善整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决 策机制，只有通过全面的风险评估，才能让客户对自身信息安全的状况做出准确 的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的 脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由 其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过 程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结 合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其 结果为信息安全更显管理提供依据。 3、风险评估服务机制 在信息系统生命周期里，有许多种情况必须对信息系统所涉及的人员、技术 环境、物理环境进行风险评估： ? 在设计规划或升级新的信息系统时；;学 海 无 涯 ;3;4;学 海 无 涯 信息安全管理制度及安全性评估 人员安全管理状况评估 安全产品和技术应用状况有效性及合理性评 对应???大紧急安全事件的处理能力评估 （11） …… 4、风险评估方法 为了确切、真实地反映信息系统现状，本公司在风险评估过程中使用到的方 法有顾问访谈、工具扫描、专家经验分析、实地勘察、渗透测试、策略审查六种， 如下图所示：;学 海 无 涯 ;学 海 无 涯 ;学 海 无 涯 3、风险评估实施流程 本公司在进行风险评估服务过程中，将严格参照 GB/T 20984-2007《信息安全风 险评估规范》国家标准所定义的服务流程规范来实施，整个实施流程如下图所示：;9;10;11;12