風險評估的原理
信息安全風險評估以資產為核心,識別資產本身存在的脆弱性和面臨的安全威脅,由資產的重要性、脆弱性的嚴重程度和威脅發生的頻率分析系統可能存在的安全風險及風險的重要程度,根據企業愛好和管理層的可接受程度設置風險處置計劃,將風險造成的損失盡可能降至最低。
常用的風險評估模型舉例如下:
風險評估模型
信息系統安全風險評估內容
管理安全評估:
對安全組織機構、安全管理制度、安全運行維護、安全人員培訓等方面進行全面評估。
基礎設施評估:
包括對網絡交換設備、安全設備、網絡結構、安全防護措施等安全性的全面評估、包括對操作系統安全性的全面評估。
應用安全評估:
包括對數據庫管理系統、WEB服務器、中間件和應用軟件的安全性進行全面評估。
滲透性測試:
對網絡、數據庫和應用系統中存在的安全漏洞和隱患實施本地或遠程的滲透性檢測和驗證,識別系統中存在的各種威脅途徑,并且提出規避措施。
信息系統安全風險評估過程
共分為申請受理、準備、實施、評估、結題五個階段,參見風險評估流程圖。
客戶收益
定期風險評估,對客戶非常必要:
· 滿足等級保護、ISO27000等合規需求
· 可以發現系統潛在的安全風險
· 為下一步的信息安全建設指明方向