等保2.0要求做风评,风评需要测评中心来做-中国信息安全测评中心 http://www.itsec.gov.cn/
什么是风险评估?
依据国际/国家有关信息安全技术标准,评估资产、信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,和利用后对其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响
风险评估的步骤(4阶段)
- 准备阶段:主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。
- 识别阶段:主要完成大量的现场识别工作,主要有资产识别、威胁识别、脆弱性识别、安全措施识别。
- 分析阶段:在识别的基础上进行大量整理并分析,得出风险评估各要素的风险状况,具体有资产影响分析、威胁分析、脆弱性分析、综合风险分析。
- 规划验收阶段:对综合风险进行梳理分析,制定风险控制规划,完成项目交付文档,提交客户讨论汇报;取得客户对项目认可,完成项目验收。
步骤 | 具体内容 | 输入文件 | 输出文件 |
---|---|---|---|
准备阶段 | 项目准备、项目启动 | 安全保密协议 | 风险评估实施方案 |
识别阶段 | 资产识别、威胁识别、脆弱性识别 、安全措施识别 | 漏洞检测安全服务项目实施申请书 | 安全现状调查报告 |
分析阶段 | 对识别的内容进行分析 | 识别期间各类调查表 | 资产、威胁、脆弱性评估报告;风险评估综合报告 |