1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 金融/投资/证券
  5. 投资/融资/租赁
网站大量收购闲置独家精品文档,联系QQ:2885784924

风险评估方案v2.1.docVIP

风险评估方案v2.1.doc

    1. 1、本文档共20页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    密级:机密

    文档编号:001

    工程代号:001

    网络风险评估方案

    V1.0

    2009年4月

    *****信息技术

    目录

    TOC\o1-2\h\z\u一、网络平安评估效劳背景 3

    1.1平安评估概念 3

    1.2平安评估的目的 3

    1.3目标现状描述 3

    二、风险评估内容说明 4

    2.1风险等级分类 4

    2.2评估目标分类 5

    2.3评估手段 6

    2.4评估步骤 7

    2.5评估检测原那么 8

    三、评估操作 9

    3.1人员访谈调查问卷 9

    3.2人工评估工具扫描 9

    3.3模拟入侵 11

    四、工程实施方案 12

    4.1工程实施 13

    4.2工程文档的提交 14

    附录一:使用的工具简单介绍 15

    Nessusscanner3.2英文版 15

    Xscan-guiv3.3中文版 16

    辅助检测工具 16

    附录二:*****信息技术简介 17

    1.1网络平安效劳理念 17

    1.2网络平安效劳特点 17

    一、网络平安评估效劳背景

    1.1风险评估概念

    信息平安风险评估是参照风险评估标准和管理标准,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断平安事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息平安的风险评估。

    风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统平安等级评测准那么》等方法,充分表达以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息平安风险评估综合方法及操作模型。

    1.2风险评估目的

    风险评估的目的是全面、准确的了解组织机构的网络平安现状,发现系统的平安问题及其可能的危害,为系统最终平安需求的提出提供依据。准确了解组织的网络和系统平安现状。具有以下目的:

    找出目前的平安策略和实际需求的差距

    获得目前信息系统的平安状态

    为制定组织的平安策略提供依据

    提供组织网络和系统的平安解决方案

    为组织未来的平安建设和投入提供客观数据

    为组织平安体系建设提供详实依据

    此外还可以通过选择可靠的平安产品通过合理步骤制定适合具体情况的平安策略及其管理标准,为建立全面的平安防护层次提供了一套完整、标准的指导模型。

    1.3目标现状描述

    XXXXXXX省略XXXX

    二、风险评估内容说明

    2.1风险等级分类

    信息系统风险包括下表所示内容,本方案按照国家二级标准将对XX公司信息风险进行评估。

    下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:

    威胁严重程度〔资产价值〕划分表

    等级

    标识

    描述

    5

    很高

    一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。

    4

    一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。

    3

    一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。

    2

    一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。

    1

    很低

    一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。

    威胁可能性赋值表

    等级

    标识

    定义

    5

    很高

    出现的频率很高〔或≥1次/周〕;或在大多数情况下几乎不可防止;或可以证实经常发生过。

    4

    出现的频率较高〔或≥1次/月〕;或在大多数情况下很有可能会发生;或可以证实屡次发生过。

    3

    出现的频率中等〔或1次/半年〕;或在某种情况下可能会发生;或被证实曾经发生过。

    2

    出现的频率较小;或一般不太可能发生;或没有被证实发生过。

    1

    很低

    威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。

    对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:

    威胁可能性

    1

    2

    3

    4

    5

    1

    2

    4

    6

    10

    13

    2

    3

    5

    9

    12

    16

    3

    4

    7

    11

    15

    20

    4

    5

    8

    14

    19

    22

    5

    6

    10

    16

    21

    25

    然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级

    风险等级划分对照表

    风险值

    1-6

    7-12

    13-18

    19-23

    24-25

    风险等级

    1

    2

    3

    4

    5

    最后对资产威胁进行填表登记,获得资产风险评估报告。

    资产

    威胁名称

    严重程度

    可能性

    风险等级

    资产1

    资产2

    资产3

    2.2评估目标分类

    根据《信息系统平安等级评测准那么》,将评估目标划分为以下

    您可能关注的文档

    最近下载

    文档评论(0)

    liuzhouzhong + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >