风险评估

最新推荐文章于 2022-12-06 09:42:03 发布
最新推荐文章于 2022-12-06 09:42:03 发布
阅读量1.8k 收藏 27
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzhokok/article/details/107317081
版权

等保2.0要求做风评,风评需要测评中心来做-中国信息安全测评中心 http://www.itsec.gov.cn/

什么是风险评估?
依据国际/国家有关信息安全技术标准,评估资产、信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,和利用后对其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响

风险评估的步骤(4阶段)

  1. 准备阶段:主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。
  2. 识别阶段:主要完成大量的现场识别工作,主要有资产识别、威胁识别、脆弱性识别、安全措施识别。
  3. 分析阶段:在识别的基础上进行大量整理并分析,得出风险评估各要素的风险状况,具体有资产影响分析、威胁分析、脆弱性分析、综合风险分析。
  4. 规划验收阶段:对综合风险进行梳理分析,制定风险控制规划,完成项目交付文档,提交客户讨论汇报;取得客户对项目认可,完成项目验收。
步骤 具体内容 输入文件 输出文件
准备阶段 项目准备、项目启动 安全保密协议 风险评估实施方案
识别阶段 资产识别、威胁识别、脆弱性识别 、安全措施识别 漏洞检测安全服务项目实施申请书 安全现状调查报告
分析阶段 对识别的内容进行分析 识别期间各类调查表 资产、威胁、脆弱性评估报告;风险评估综合报告
最低0.47元/天 解锁文章
星辰大海0601
关注
  • 3
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
风险评估工具
11-17
大企业用风险评估工具
风险评估简介
qq_44704184的博客
07-12 1845
风险评估
风险建模、评估和管理(risk modeling assessment and management 3rd)
04-21
注意:由于网站权限限制,每次上传不可大于20M,因此文件被压缩成三卷,此为第一部分,一定要将三卷全部下载再解压方可解压成功!切记! 作者: YACOV Y. HAIMES Center for Risk Management of Engineering Systems University of Virginia Charlottesville, Virginia 对于作者,可能很多需要这方面资料的人是了解的,不需要多介绍。 关于资料,我谈谈我的看法。由西安交大出版社2007年发行的中文版,是根据原书第二版翻译出来的东西,由西安交通大学管理学院的几位高级人才翻译(我并不想诋毁该学校,而是这几个人翻译这本书真不咋的)。看了实在让人很不爽……(省略N个不雅字眼)……让我白费了几十大洋给了卓越,肠子都悔青了。 这是原书E文第三版,很清晰。需要E文第二版的,可以PM我。
江苏省数据安全风险评估规范
08-17
江苏省数据安全风险评估规范是针对该地区数据安全管理的一项重要指南,旨在确保组织和个人的数据安全,遵循《数据安全法》的规定。这份规范详细阐述了数据安全风险评估的各个环节,旨在强化风险识别、管理和应对策略...
软件风险评估报告
08-31
软件风险评估报告是软件开发过程中的重要文档,用于识别、分析和管理可能影响项目成功的潜在问题。这份报告通常包括对软件开发周期和实施过程中可能遇到的风险的详细分析,以及为应对这些风险提出的策略和措施。 ...
信息安全风险评估报告.doc
12-17
信息安全风险评估是对组织信息资产面临的威胁、存在的脆弱性以及由此可能导致的风险进行系统、全面的分析和评估的过程。此报告详细阐述了2020年度某单位进行的风险评估活动,旨在根据ISO27001:2013标准建立信息安全...
电信领域数据安全风险评估规范.pdf
最新发布
07-03
电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估...
学校内部控制风险评估表.doc
02-06
学校内部控制风险评估是确保教育机构财务稳定和运营有效性的重要工具。内部控制主要分为两个主要领域:控制环境风险和财务风险。以下是对这两个领域的详细说明: **一、控制环境风险** 1. **发展规划风险**:如果...
风险评估定量与定性的分析方法
04-26
风险评估的定量和定性分析方法,给出了一些标准,方向,共参考。
风险评估报告模板-非涉密信息系统信息安全风险评估报告
05-31
一、风险评估项目概述 1 1.1 工程项目概况 1 1.1.1 建设项目基本信息 1 1.1.2 建设单位基本信息 1 1.1.3承建单位基本信息 2 1.2 风险评估实施单位基本情况 2 二、风险评估活动概述 2 2.1 风险评估工作组织管理 2 2.2 风险评估工作过程 2 2.3 依据的技术标准及相关法规文件 2 2.4 保障与限制条件 3 三、评估对象 3 3.1 评估对象构成与定级 3 3.1.1 网络结构 3 3.1.2 业务应用 3 3.1.3 子系统构成及定级 3 3.2 评估对象等级保护措施 3 3.2.1 XX子系统的等级保护措施 3 3.2.2 子系统N的等级保护措施 3 四、资产识别与分析 4 4.1 资产类型与赋值 4 4.1.1资产类型 4 4.1.2资产赋值 4 4.2 关键资产说明 4 五、威胁识别与分析 4 5.1 威胁数据采集 5 5.2 威胁描述与分析 5 5.2.1 威胁源分析 5 5.2.2 威胁行为分析 5 5.2.3 威胁能量分析 5 5.3 威胁赋值 5 六、脆弱性识别与分析 5 6.1 常规脆弱性描述 5 6.1.1 管理脆弱性 5 6.1.2 网络脆弱性 5 6.1.3系统脆弱性 5 6.1.4应用脆弱性 5 6.1.5数据处理和存储脆弱性 6 6.1.6运行维护脆弱性 6 6.1.7灾备与应急响应脆弱性 6 6.1.8物理脆弱性 6 6.2脆弱性专项检测 6 6.2.1木马病毒专项检查 6 6.2.2渗透与攻击性专项测试 6 6.2.3关键设备安全性专项测试 6 6.2.4设备采购和维保服务专项检测 6 6.2.5其他专项检测 6 6.2.6安全保护效果综合验证 6 6.3 脆弱性综合列表 6 七、风险分析 6 7.1 关键资产的风险计算结果 6 7.2 关键资产的风险等级 7 7.2.1 风险等级列表 7 7.2.2 风险等级统计 7 7.2.3 基于脆弱性的风险排名 7 7.2.4 风险结果分析 7 八、综合分析与评价 7 九、整改意见 7 附件1:管理措施表 8 附件2:技术措施表 9 附件3:资产类型与赋值表 11 附件4:威胁赋值表 11 附件5:脆弱性分析赋值表 12
安全风险评估
11-26
安全风险评估的样例,个人感觉可以作为参考,值收一个点
ISO27001风险评估实施流程(详细版)
热门推荐
weixin_43443872的博客
05-11 1万+
ISO27001风险评估实施流程 第一章:风险评估概念 名词定义: 风险:在信息安全领域,风险(Risk),就是指信息遭受损坏并给企业带来负面影响的潜在可能性。 风险评估(Risk Assessment):包括风险识别、风险分析和风险评价在内的全部过程。 风险管理(Risk Management):就是以可接受的代价、识别、控制、减少或消除可能影响信息的安全风险的过程。 风险的来源: 如下图: 风险评估的作用 如下图: 风险管理的原则 如下图: 第二章:风险评估的实施步骤 1、风险评估过程 根据ISO
风险评估(Risk Assessment)
paBYss的博客
05-11 4895
转自https://wiki.mbalib.com/wiki/%E9%A3%8E%E9%99%A9%E8%AF%84%E4%BC%B0 风险评估的定义   风险评估(Risk Assessment)是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估的内容 (1)对风险本身的界定。包括风险发生的可能性;风险强度;风险持续时间;风险发生的区域及关键风险点。 (2)对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的;是否会引发其他的相关风
风险评估具体操作流程
m0_74079109的博客
12-06 777
风险评估应贯穿于评估对象生命周期 各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法昆一致的,但由干各阶段实施内容对象、安全需求不同.使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性 ,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。##
【信息安全】信息安全风险评估-实践指南
m0_49351255的博客
11-23 603
根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指南。
风险评估实施流程
weixin_44253823的博客
07-24 6869
(一)风险评估准备 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估前,应该做好如下准备。 确定风险评估的目标。 确定风险评估的范围。 组建适当的评估管理与实施团队。 进行系统调研。 确定评估依据和方案。 制定风险评估方案。 获得最高管理者对风险评估工作的支持...
《网络安全原理与实践》一1.3 威胁评估
weixin_34236869的博客
05-02 103
本节书摘来自异步社区《网络安全原理与实践》一书中的第1章,第1.3节,作者 【美】Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区“异步社区”公众号查看 1.3 威胁评估 网络安全原理与实践网络攻击是网络安全过程为保护其网络资产所必须抵制的。网络安全攻击是怀有恶意或者其他目的的尝试,攻击者以一种通常不被允许的途径使用或者修...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值