安全管理之风险评估实施步骤

最新推荐文章于 2024-04-03 10:04:58 发布
最新推荐文章于 2024-04-03 10:04:58 发布
阅读量782 收藏 1
点赞数 1
分类专栏: 安全管理 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43853965/article/details/105017806
版权

启动准备
1、参考标准:《GB-T20984-2007 信息安全风险评估规范》《深圳市信息安全风险评估实施指南》
2、启动大会-《风险评估启动会议纪要》
3、信息安全风险评估工作计划-《XXXXX年度信息安全风险评估工作计划》
4、年度信息安全风险评估方案-《XXXXX年度信息安全风险评估方案》
实施阶段
1、资产识别
资产分类:文档和数据、软件资产、硬件资产、人力资源、业务应用、物理环境及组织管理
资产赋值-《XXXXX年资产识别表清单》《XXXXX年重要资产识别表清单》
资产识别会议-《资产识别会议纪要》
2、威胁识别
识别威胁主体-《XXXXX年威胁识别清单》
3、脆弱性识别:
本地核查-《本地核查》
应用层扫描-《应用层扫描报告》
主机层扫描-《主机层扫描报告》
问卷调查-《调查问卷》
产生报告-《XXXXX年脆弱性识别清单》
威胁和脆弱性识别会议-《威胁和脆弱性识别会议纪要》
4、风险分析:
风险分析方法-《威胁风险系数计算矩阵》
风险值=资产重要性*风险系数-
风险系数=发生可能性和影响程度矩阵
风险等级划分
序号 风险值 风险等级
1 0-99 极低
2 100-199 低
3 200-399 中
4 400-599 高
5 600-1250 极高
不可接受风险划分
如:大于200为不可接受风险
风险分析结果-《重要资产的风险值表》
风险处置计划-《不可接受风险处理计划》
风险分析和处理计划会议-《风险分析和处理计划会议纪要》
结束阶段
生成评估报告-《XXXXX年度信息安全风险评估报告》
生成总结报告-《XXXXX年度信息安全风险评估工作总结》
风险评估工作总结会议-《风险评估工作总结会议纪要》
在这里插入图片描述

沙漠网管
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据安全风险评估方法及实施指南.zip
08-02
信息安全风险评估理论 风险评估是数据安全风险管理的起点 风险评估关注的安全要素 风险评估基本过程 基于风险控制的数据安全管理体系 新形势催生以数据为中心的安全风险评估 数据资产识别是数据安全风险评估的基础 数据应用场景是识别数据安全风险的主线 数据安全风险评估结果支撑实施数据安全分类分级管理 数据安全风险评估方法 数据安全风险评估实施指南 数据安全评估实施流程 风险处置 残余风险评估
怎样做风险评估?风险评估有哪些具体实施流程?
securitypaper的博客
06-18 8209
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。 ...
网络数据安全风险评估实施指引(一)
elevn的博客
07-14 1407
近日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南 网络数据安全风险评估实施指引》(TC260-PG-20231A v1.0-202305),旨在响应《数据安全法》要求,落实重要数据处理过程风险评估,衔接已发布的《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)、《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)和正在编纂的《信息安全技术 数据安全风险评估方法》等国家标准。提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。掌握数据安全总体状况;
信息安全风险评估---矩阵法计算风险
热门推荐
suiyideAli的博客
11-15 1万+
                                                                                        矩阵法计算风险 假设:有以下信息系统中资产面临威胁利用脆弱性的情况: 共有两项重要财产:资产A1和资产A2; 资产A1面临一个主要威胁T1; 资产A2面临两个主要威胁T2,T3; 威胁T1可以利用资产A1存在的两个...
信息安全风险评估是什么?如何进行评估?
oldboyedu1的博客
04-25 760
在那些有风险辨识度的项目或是流程上面,进行仔细的分析,看看这些风险的特征是什么,并且使用明确的定义来进行描述,从而能够更为精准,特别是使用数字或是挡位定义来明确这些风险的发生条件、以及风险的程度高低,从而使得人们都能够对于这些风险的发生可能性、以及所会造成的后果有着更为直观的认知。进行评估之前,需要先对每一个业务中的单元、各种相关的活动、以及业务流程里面的重要环节都进行反复的排查与辨识,看看这些项目都有着什么样的风险,这样子才能够在大体上面对于风险情况有一个估计,做出一个基础的判断。
信息安全风险评估报告.doc
12-17
此报告详细阐述了2020年度某单位进行的风险评估活动,旨在根据ISO27001:2013标准建立信息安全管理体系,并为管理体系的持续改进提供依据。 评估首先明确了风险评估的目的,即为ISO27001标准的实施提供策划基础,...
信息安全风险评估规范
04-06
信息安全风险评估规范》的实施,对于企业来说,能够提升信息安全管理水平,增强组织对潜在威胁的防御能力,促进业务的稳定和持续发展。同时,它也为员工提供了一个统一的风险评估框架,帮助他们在日常工作中更好地...
国家标准《信息安全风险评估实施指南》.docx
06-19
信息安全风险评估实施指南》是国家标准,旨在提供一套详细的操作指南,帮助组织和个人进行有效的信息安全风险评估。这个指南的制定始于2009年,由国家信息中心主导,多家专业机构参与起草,历经标准草案编制、意见...
风险评估实施步骤修订版.docx
06-17
以下是对"风险评估实施步骤修订版.docx"文档内容的详细解析: 首先,风险评估实施始于风评准备。这个阶段主要包括设定评估目标,明确评估范围,组建评估团队,以及进行系统调研。确定目标是为了明确评估的目的,...
【精品标准】最新数据安全评估标准合集
最新发布
goodxianping的专栏
04-03 650
是对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断的过程,旨在评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。在评估过程中,还可以采用一些具体的数据安全评估方法,如漏洞评估、风险评估安全审核、渗透测试、数据分类评估、安全意识评估、传输安全评估以及合规性评估等。8、数据安全风险评估实施方法。9、数据安全评估技术实施指南。11、数据安全风险评估规范。2、数据安全风险评估方法。6、信息安全风险评估方法。10、数据安全评估规范。7、数据安全评估规范。
深圳市信息安全风险评估实施指南
03-09
本《实施指南》以国家标准GB/T 20984-2007《信息安全技术信息安全风险评估规范》为基础,结合目前国内外相关的标准与方法,详细介绍了风险评估的内涵、实施流程、操作要点、记录结果等内容,为各单位实施自评估、提高安全风险意识提供 帮助。
数据安全风险评估方法及实施指南(深圳).pdf
08-09
网络安全,风险评估方法,策略,以及欧美建立此规则的经验
信息安全风险评估实施指南
06-30
本标准是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中各阶段评估工作的细化,适用于从事信息安全风险评估活动的有关组织机构和人员,也可为组织内部进行信息安全风险评估提供指导和参考。
保安安全评估程序.doc
09-26
保安安全评估程序.doc
网络安全标准实践指南——网络数据安全风险评估实施指引(原文+解读下载)
qq_18209847的博客
06-06 3354
具体的,首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。《实践指南》坚持预防为主、主动发现、积极防范,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,对数据处理者数据安全保护和数据处理活动进行风险评估,由于作者水平有限,欢迎业界同仁共同探讨完善。
信息安全信息安全风险评估-实践指南
m0_49351255的博客
11-23 608
根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指南。
基于数据安全风险评估-风险分析与评估
MR王峰的专栏
02-18 1万+
完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。 风险分析原理 本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。 一、风险计算形式及关键环节 风险计算原理其范式形式如下: 风险值=R(A,T...
信息安全管理与评估_信息安全管理06_定性信息安全风险评估方法
weixin_39818550的博客
12-04 280
定性信息安全风险评估方法常用于专业安全评估团队对特定系统或平台的安全评估中,本文就以安全评估项目过程为主线,从评估准备、现状调研、现状分析、检查与测试、分析评价、评估报告六个阶段步骤,来介绍定性信息安全风险评估方法。一、评估准备评估准备阶段需要确定评估目标和范围、成立评估组、制定评估实施计划、收集整理开发各种评估工具。评估准备阶段的输出包括《安全评估计划》、《安全评估调查表》、《安全评估check...
数据安全治理实践指南和数据安全治理评估方法
云上笛暮
07-21 513
从理论指导到建设目标,搭建保障框架,并设计建设步骤。 《数据安全治理实践指南》可为数据安全治理实践工作过程和思路提供指导; 《数据安全能力成熟度模型》可为数据安全建设工作提供指导; 《数据安全治理评估方法》可为数据安全治理工作效果的评估工作提供指导; ...
江苏信息安全风险评估实施指南与资产威胁分析
DB32T_1439信息安全风险评估实施规范是一份江苏省的地方标准,旨在提供详细的操作指南,帮助...通过阅读和遵循DB32T_1439信息安全风险评估实施规范,组织可以有效地进行风险识别、分析和管理,提升其网络安全防护能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值