风险评估实施方案.docxVIP

一、风险评估概述 1、风险服务的重要性 关于建立一套优秀的信息安全系统，需要对整个系统的安全风险有一个清晰的认识。只有清晰的认识了自己的弱点和风险的根源，才能够真切的解决和削弱它，并以此来建立有着对性的、合理有效的安全策略，而风险评估既是安全策略规划的第一步，同时也是实施其他安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击，很对用户的网络都遭到了不同程度的攻击，认真剖析就会发现，几乎所有的用户都部署了防病毒软件和近似的安全防备系统，越来越多的用户发现淡村的安全产品已经不能知足现在的安全防备体系的需求了。 安全是整体的体系建设过程，根据安全的木桶原理，组织网络的整个安全最大强度取决于最短最柔弱的那根木头，所以说在安全建设的过程中，如果不认真的找到最短的那根木头，而盲目的在外面加钉子，并不能改良整体强度。 信息安全风险评估是信息安全保障体系成立过程中的重要的评论方法和决议 体制，只有经过全面的风险评估，才能让客户对自己信息安全的状况做出正确的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆 弱性致使安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其 办理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评论的过程。 他要评估财产面对的威胁以及威胁利用柔弱性致使安全事件的可能性，并联合安全 事件所波及的财产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障体制成立过程中的一种评论方法，其结 果为信息安全更显管理提供依据。 3、风险评估服务体制 在信息系统生命周期里，有很多种情况必须对信息系统所波及的人员、技术环境、物理环境进行风险评估： 在设计规划或升级新的信息系统时； 给当前的信息系统增加新应用时； 在与其他组织（部门）进行网络互联时； 在技术平台进行大规模更新（比如，从Linux系统移植到Sliaris系统）时；在发生计算机安全事件之后，或思疑可能会发生安全事件时； 关心组织现有的信息安全举措是否充分或食后拥有相应的安全效力时；在组织拥有构造改动（比如：组织归并）时： 在需要对信息系统的安全状况进行定期或不定期的聘雇、已查察是否知足组织持续营运需要时等。 4、风险评估服务的利润 风险评估能够帮助客户： 正确认识租住的信息安全现状； 清晰组织的信息安全需求； 拟订组织信息系统的安全策略和风险解决方案； 指导组织未来的信息安全建设和投入； 成立组织自己的信息安全管理框架。 二、风险评估服务介绍 本企业按照公认的ISO27001、GB/T20984-2007信息安全风险评估规范以及 国际信息安全等级保护指南等安全标准知道风险评估的工作，针对财产重要程度分 别提供不同的频次和方式的风险评估，帮助客户认识客观真切的自己网络系统安全 现状，规划适合自己网络系统环境的安全策略，并根据科学合理的安全策略来实施 后续的安全服务、选型与部署安全产品以及成立有效的安全管理规章制度，进而全 面完整的解决可能存在的各样风险隐患。 1、风险评估服务按照标准 在整个评估过程中，本企业按照和参照最新、最权威的信息安全标准，作为评 估实施的依据。这些安全标准包括： 安全技术标准： GB17859：计算机信息系统安全保护等级区分准则 GB18336（ISO15408）：信息技术-安全技术-信息技术风险评估准则（等 同于CommonCriteriaforInformationTechnologySecurityEvaluation V1.2，简称  CCV1.2） CVE：CommonVulnerabilities  ＆  Exposures  ，通用柔弱性标准。  CVE是个 行业标准，为每个破绽和弱点确定了惟一的名称和标准化的描绘，  能够称为 评论响应入侵检测和破绽扫描等工具产品和数据库的基准 安全管理标准： ISO/IEC27001:2005InformationTechnology-Security techniques-Informationsecuritymanagementsystems-Requirements， 信息技术-安全技术-信息安全管理体系要求 ISO/IEC27005:2008InformationTechnology-Security echniques-Informationsecurityriskmanagement，信息技术-安全技术- 信息安全风险管理 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求 信息安全等级保护信息系统安全管理要求（送审稿） ISO13335，信息技术-安全技术-IT安全管理指南 GB/Z243642009