风险信息最全面/信息安全风险评估_手把手教网安入门教程

风险信息最全面/信息安全风险评估_手把手教网安入门教程

评估概述

风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作，可以发现组织和信息系统在安全方面存在的主要问题和矛盾。运用信息安全风险评估方法，定期开展安全性评估活动，从风险管理角度出发，科学客观地分析被评估信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改建议。能够有效的防范和降低信息系统的安全风险，将风险控制在可接受的水平，从而提升信息系统的安全保障能力。

法律依据

《网络安全法》第十七条 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务；

《网络安全法》第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门；

《国家电子政务工程建设项目管理暂行办法》（国家发改委令第55号）第三十一条要求“项目建设单位应在完成项目建设任务后的半年内，组织完成建设项目的信息安全风险评估和初步验收工作”。

参考依据

GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》

GB/T 31509-2015 《信息安全技术 信息安全风险评估指南》

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

GB/Z 24364-2009 《信息安全技术 信息安全风险管理指南》

GB/T 33132-2016 《信息安全技术 信息安全风险处置实施指南》

GB/T 31722-2015 《信息技术 安全技术 信息安全风险管理》

其他行业相关标准或规范

ISO/IEC 27005-2018 《信息技术 信息安全技术 信息安全风险管理》

NIST SP800-30 《风险评估实施指南》

评估领域

关键信息基础设施

电子政务工程建设项目

金融行业

能源行业

工控行业

海关、保险、民航、云计算及其他相关行业及场景

评估对象

组织

关键业务过程

信息安全方针、策略

信息安全管理体系

信息系统的物理环境、网络架构、网络设备、安全设备、服务器 、数据库、应用中间件、应用系统等

评估流程

~

网络安全学习，我们一起交流

~