企业网络与信息安全风险评估规范.pdfVIP

企业网络与信息安全 风险评估规范 目 录 第一章 总则 3 第二章 风险评估原则 5 第三章 风险评估模型 5 第四章 风险评估策略 9 第五章 风险评估过程框架 11 第六章 风险评估手段 15 第七章 文档要求 16 第八章 项目管理 17 第一章 总则 第一条 网络与信息安全风险评估是网络与信息安全 管理的基础性工作，是实现网络与信息系统安全水平持续改 进的重要手段。为了指导、规范和促进各单位开展网络与信 息安全风险评估工作，加强网络与信息安全的全过程动态管 理，进一步提高网络与信息安全保障水平 , 特制定本规范。 第二条 网络与信息安全风险评估是对企业现有的网 络、信息系统、业务流程、安全策略等进行风险分析，并根 据风险分析结论提出安全建议的过程。 第三条 通过对网络与信息系统（以下简称信息系统） 进行安全评估，至少应该达到以下目标： （一） 掌握信息系统的安全现状和面临的安全风险； （二） 明确信息系统面对的主要风险以及这些风险产 生的原因； （三） 为信息系统的建设、运行、维护、使用和改进 提供安全性建议。 （四） 改进与完善企业现有安全策略，实施有效的信 息系统风险管理，加强重要信息系统的安全保障。 第四条 本规范适用于国家电网公司系统各单位， 用于 指导各单位信息安全评估项目的开展和实施。 第五条 名词解释 使命： 一个组织通过信息化实现的工作任务。 信息资产： 在信息化建设过程中积累起来的信息系统、 信息数据、生产或服务能力、人员能力和应得的信誉。 价值 ：指信息资产对信息系统的重要程度，以及对信息 系统为完成组织使命的重要程度。 威胁 ：信息资产可能受到的来自内部和来自外部的安全 侵害。 脆弱性： 信息资产及其防护措施在安全方面的不足，通 常也称为漏洞。 风险： 是指人为或自然的威胁利用信息系统存在的脆弱 性，从而导致信息安全事件发生的可能性及其影响。 残余风险： 采取了安全防护措施，提高了防护能力后， 仍然可能存在的风险。 安全措施： 为对付威胁，减少脆弱点，保护资产，限制 意外事件的影响，检测和响应意外事件，促进灾难恢复和打 击信息犯罪而采取的各种实践、规程和机制统称为安全措 施。 安全防护需求 ：指为保证信息系统能够正常使用，在信 息安全防护措施方面的要求。 第二章 风险评估原则 第六条 完整性原则 根据“木桶原理”，为了保证评估取得预期结果，应当 综合评估信息系统对象本身及其相关的安全措施、人员、管 理等方面，技术层面的评估与管理层面的评估相结合，全面 反映信息系统安全状态，确保评估范围的完整、评估内容的 全面和评估流程的完整。 第七条 标准化原则 认真遵循有关国际和国内标准制定评估要求、编写评估 方案、安排评估流程，严格按照预先定义的实施方案开展安 全评估和进行评估工作的管理，确保评估定义过程、操作流 程和操作方法的规范性。 第八条 最小影响原则 信息安全风险评估的部分工作内容可能会对信息系统 的运行带来负面影响。必须设计合理与灵活的风险评估实施 方案，对可能造成这些影响的工作内容进行有效管理，把评 估对信息系统与业务可能造成的影响降低到最低限度。 第三章 风险评估模型