【信息安全】信息安全风险评估

最新推荐文章于 2022-11-23 09:41:53 发布
最新推荐文章于 2022-11-23 09:41:53 发布
阅读量564 收藏 1
点赞数
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49351255/article/details/122317514
版权

2021年5月因为机缘巧合,转换了工作环境,也完成了一轮新的职业变更,从风控审计转至安全管理,安全管理对于本人又是一个全新的领域,基于对安全领域的了解不够深入,把工作中的项目做一个总结分享,若有不足,还请批评指正。

最近一段时间涉及到的工作内容主要是涉及信息安全的风险评估,其重要目标是为了发现,分子公司日常业务运作过程中的安全风险,并加以收敛。

说到风险评估,业界常用的风险评估方式主要有两种:

1. 定量风险评估

2. 定性风险评估

而在实际风险评估的过程中,以上两种方式,多数时候可以说难以真正运用,其主要原因是,例如你碰到的是一个完全没有任何的历史资料的公司。

能够使用的方式认为是,了解目前风险评估的组织所涉及的业务以及业务流程,并从中关注信息安全的要点。

而整个风险评估的过程,我将其划分为风险评估前,风险评估时,风险评估后。具体内容主要包括:

一、风险评估前

业务了解

1. 主要运作哪些业务?

——要求提供解答。

2. 业务流程脉络如何?业务流程输入及输出有哪些?

——要求提供流程图或流程说明。

3. 业务的运作会使用到什么数据?数据会包括什么内容?

——要求查看业务运作会使用到的系统/数据/文档等。

4. 业务的开展会使用到哪些系统、软件?

——列清单要求提供,包括内部、外部。

5. 创建风险访谈提纲

——理清访谈思路

6. 创建资产表

——提前收集被访谈对象所属业务部门的资产数据,包括,硬件、软件、文件、系统(内部及外部)、服务。

7. 创建访谈计划

——包括访谈人、访谈时间、访谈地点。

二、风险评估时

1. 会议记录

——推荐录音或文件记录的方式

2. 依据访谈提纲提问

——依据访谈提纲主体脉络,根据被访谈人回答的具体情况根据本次访谈的主要目的适当进行延伸。

3. 问题确认

——过程中存在的疑问,当场解决,若存在无法当场解决的,提前说明。

三、风险评估后

1. 整理访谈提纲

——根据访谈过程中被访谈人的回答,整理访谈纪要。

2. 整理资产表

——根据访谈过程中被访谈人的回答,整理资产表,确定是否存在遗漏。

3. 整理风险点

——根据风险评估关注点,结合实际访谈情况,罗列风险点,如,高风险(风险判定应当依据事先依据公司业务情况制定风险评估的指标来进行判定),xxx存在权限申请与授权人员为同一人的职责未分离风险。

4. 初稿再次确认

——初步整理完成的访谈提纲、资产表、风险汇总表,与被访谈人员确认,描述内容是否属实,是否需要纠正。

5. 完成风险评估

——整合所有风险评估相关资料。

不懂技术的小哥哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全风险评估
江南落花雨
01-11 6198
网站的风险,大多来自于漏洞! 漏洞扫描 漏洞扫描内容 网络设备 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络资源的访问控制:检测到无线访问点 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击 路由器,Cisco IOS Web配置接口安全认证可被绕过,N
关于信息安全风险评估,你需要知道的
xinzhouqifu6的博客
10-27 1225
什么是信息安全风险评估信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全风险评估。 系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素
信息安全风险评估
weixin_34198453的博客
10-13 868
----------国盟 一、风险的由来 “风险”一词的由来,最为普遍的一种说法是,在远古时期,以打鱼捕捞为生的渔民们,每次出海前都要祈祷,祈求神灵保佑自己能够平安归来,其中主要的祈祷内容就是让神灵保佑自己在出海时能够风平浪静、满载而归;他们在长期的捕捞实践中,深深的体会到“风”给他们带来的无法预测无法确定的危险,他们认识到,在出海捕捞打鱼的生活中,“风”即意味着“险”...
IT风险管理系统
yin455946171的专栏
04-30 570
 谷安天下IT风险管理软件(ITRM)合作伙伴会议邀请  尊敬的阁下: 您好!北京谷安天下科技有限公司是一家专业从事IT风险管理领域专业服务及产品的厂商,致力于为客户提供全面IT风险管理解决方案及专业服务。谷安天下在国内率先提出了统一IT风险管理框架的思想,基于信息安全与IT风险管理领域丰富的咨询项目经验,设计了基于风险导
信息安全风险评估报告.doc
12-17
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和...
信息安全风险评估报告
11-11
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和...
信息安全风险评估介绍ppt
09-11
信息安全风险评估介绍ppt,从风险评估的流程,到风评的好处,风评的相关政策,全方位解读
信息安全风险自评估.pdf
04-05
信息安全风险自评估.pdf信息安全风险自评估.pdf信息安全风险自评估.pdf信息安全风险自评估.pdf信息安全风险自评估.pdf信息安全风险自评估.pdf
业务安全信息风险评估
心升境
07-30 1393
信息安全的目标是保护信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性、完整性和可用性都是相对于业务而言的,即基于业务所要求来控制发布访问范围、按照业务的需要来授权信息的修改和保证信息为业务在需要的时候可用。[separator] 因此信息安全首先必须清楚要保护的业务信息对象和这些对象可能遭遇的风险。业务信息风险
信息安全风险评估报告(模板).pdf
04-11
目 录 报告声明 ...................................................................................... 错误!未定义书签。 委托方信息 .................................................................................. 错误!未定义书签。 受托方信息 .................................................................................. 错误!未定义书签。 风险评估报告单 .......................................................................... 错误!未定义书签。 1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。 1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。 1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。 1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。 1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。 2. 评估对象构成 ........................................................................ 错误!未定义书签。 2.1. 评估对象描述 .................................................................. 错误!未定义书签。 2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。 2.3. 网络边界描述 .................................................................. 错误!未定义书签。 2.4. 业务应用描述 .................................................................. 错误!未定义书签。 2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。 3. 资产调查 ................................................................................ 错误!未定义书签。 3.1. 资产赋值 .......................................................................... 错误!未定义书签。 3.2. 关键资产说明 .................................................................. 错误!未定义书签。 4. 威胁识别与分析 ...................................................................................................... 3 4.1. 关键资产安全需求 ............................................................................................ 3 4.2. 关键资产威胁概要 ............................................................................................ 7 4.3. 威胁描述汇总 .................................................................................................. 20 4.4. 威胁赋值 .......................................................................................................... 22 第 2 页共 94 页 5. 脆弱性识别与分析 ................................................................................................ 25 5.1. 常规脆弱性描述 .............................................................................................. 25 5.1.1. 管理脆弱性 ................................................................................................ 25 5.1.2. 网络脆弱性 ................................................................................................ 25 5.1.3. 系统脆弱性 ................................................................................................ 25 5.1.4. 应用脆弱性 ................................................................................................ 25 5.1.5. 数据处理和存储脆弱性 ............................................................................ 25 5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25 5.1.7. 物理脆弱性 ................................................................................................ 25 5.2. 脆弱性专项检查 .............................................................................................. 25 5.2.1. 木马病毒专项检查 .................................................................................... 25 5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26 5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37 5.3. 脆弱性综合列表 .............................................................................................. 40 6. 风险分析 ................................................................................................................ 47 6.1. 关键资产的风险计算结果 .............................................................................. 47 6.2. 关键资产的风险等级 ...................................................................................... 51 6.2.1. 风险等级列表 ............................................................................................ 51 6.2.2. 风险等级统计 ............................................................................................ 52 6.2.3. 基于脆弱性的风险排名 ............................................................................ 52 6.2.4. 风险结果分析 ............................................................................................ 54 7. 综合分析与评价 .................................................................................................... 55 7.1. 综合风险评价 .................................................................................................. 55 7.2. 风险控制角度需要解决的问题 ...................................................................... 56 8. 整改意见 ..............................................
信息安全风险评估-概念、方法和实践.pdf
12-29
信息安全风险评估风险评估、资产识别、威胁识别、脆弱性识别
信息安全风险评估标准GB20984
01-27
信息安全风险评估标准GB20984
风险评估考试题答案分享.pdf
12-13
风险评估考试题答案分享.pdf
信息安全信息安全风险评估-实践指南
m0_49351255的博客
11-23 581
根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指南。
网络信息安全风险评估
小旺的博客
06-04 8594
网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全安全风险。网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁
信息安全技术 信息安全风险评估方法
最新发布
06-07
信息安全技术是保护计算机系统、网络和数据不受非法访问、使用、泄露、破坏等威胁的技术手段。信息安全风险评估是指对信息系统或网络进行评估,确定潜在的信息安全威胁和漏洞,以便采取相应的措施进行防范。 信息安全风险评估方法主要包括以下几种: 1. 安全性评估:对系统或网络的安全性进行评估和测试,以确定系统或网络的弱点和漏洞,为制定安全措施提供依据。 2. 威胁建模:建立威胁模型,对可能的威胁进行分析和预测,从而确定系统或网络的潜在威胁。 3. 漏洞扫描:对系统或网络进行漏洞扫描,以确定系统或网络是否存在已知的漏洞。 4. 渗透测试:模拟黑客攻击,对系统或网络进行渗透测试,以发现系统或网络的弱点和漏洞。 5. 评估标准:根据相关的安全评估标准,对系统或网络进行评估,确定其安全等级和安全措施。 以上是信息安全风险评估的一些常用方法,不同的方法可以相互补充,以达到更全面的评估效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值