信息安全风险评估费用.pdf

信息安全风险评估费用 1. 信息安全风险评估的周期 信息安全风险评估没有确定的时间周期，一般两年一次进行定期的评估，但 当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信 息安全事故等情况下应进行风险评估。 此外，对系统规划、扩建时也需要进行风险评估，为安全需求、安全策略的 制定提供依据。 2. 信息安全风险评估的收费标准 根据评估对象的不同而不同。风险评估的对象可以是：单个独立的信息系统、 支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主 要依据以下几个方面进行核算： ➢ 网络规模 ➢ 联网单位或客户端抽样比例 ➢ 被评估系统的多少 ➢ 被评估信息设备的多少 ➢ 被评估的组织范围大小 3. 信息安全风险评估的政策依据及标准依据 国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27 号文件)将信息安全风险评估作为一项重要的举措。国信办2005 年5 号文率先在 北京、上海、黑龙江、云南等地，以及银行、税务、电力三个行业进行试点，根 据试点经验，各省市建立信息安全风险评估管理制度。 ➢ GB/T 20984-2007 《信息安全技术信息安全风险评估规范》 ➢ GB/T 18336 《信息技术安全技术 信息技术安全性评估准则》 ➢ GB 17859 －1999 《计算机信息系统安全保护等级划分准则》 ➢ GB/T 19716－2005 《信息技术信息安全管理适用规则》 ➢ GB/T22080-2008 《信息技术安全技术信息安全管理体系要求》 ➢ GB/T22081-2008 《信息技术安全技术信息安全管理实用规则》 ➢ GB/T 20274 《信息系统安全保障评估框架》 ➢ 国信办标准草案《信息安全风险评估指南》 ➢ 国信办标准草案《信息安全风险管理指南》 ➢ NIST SP800-30 《Risk Management Guide for Information Technology Systems》