24小时咨询热线

0731-83293508

ISMS信息安全风险评估

2018-05-15 乐业智投顾问 20

  ISMS信息安全风险评估

  ISMS建设过程中,信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。在信息安全领域,信息安全风险评估也形成了诸多国际标准和国内标准。本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。以下就相关内容做一个简要描述。

  信息安全风险评估包括四个主要方面的内容,即资产识别、威胁识别、脆弱性识别和风险评估。它们之间的关系如图2.3所示:

 

图2.3信息安全风险评各要素关系

 

  在图2.3中,风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。下面就其含义作一个简介:

  ①资产识别

  安全的目的始终都是保障组织业务的正常运行。因此,资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析,或者说将组织的业务安全映射成资产的安全,使得我们能够科学的把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。

  ②威胁识别

  与资产识别相类似,威胁识别分为威胁分类和威胁赋值两个环节。威胁识别的方法形象地讲就是“植树、剪枝、统计”,见图2.4:

 

图2.4威胁识别树

 

  ③脆弱性识别

  与资产识别和威胁识别略有不同,脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。表2.1是脆弱性分类表

 

长沙ISO认证

 

  在对一个信息系统进行了资产识别、威胁识别和脆弱性识别的基础上,人们可以对信息系统的综合风险等级进行赋值,见表2.2:

  等级标识描述

  1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补

  2低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决

  3中等一但发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大

  4高一但发生会产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害

  5很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣


标签:  长沙ISO22000认证 株洲IATF16949认证 衡阳ISO9000认证
湖南乐业智投管理咨询有限公司 版权所有 违者必究 闽ICP备17002241号-1 网营师