信息安全事件不可能完全避免,所以保障企業(yè)信息安全必須從風險管理的角度出發(fā),控制、緩解和規(guī)避風險, 在信息安全和業(yè)務發(fā)展間找到平衡點。
當前信息系統(tǒng)的安全狀況如何?當前信息系統(tǒng)的安全威脅有哪些?安全風險可能導致的損失是多少?在現(xiàn)有有限的安全投資如何抓住重點,是絕大多數(shù)企業(yè)都會面臨的困擾。
信息安全風險評估是信息安全工作的重要工作環(huán)節(jié),是信息安全保障體系建立過程中重要的評價方法和決策機制。隨著信息安全形勢日益嚴峻,以及國家有關信息安全的法律法規(guī)陸續(xù)出臺,對信息安全工作的要求也越來越嚴格。信息安全風險評估,是了解、掌握信息系統(tǒng)安全現(xiàn)狀,明確信息系統(tǒng)安全需求,貫徹落實各項信息安全管理制度、滿足國家監(jiān)管要求的重要手段。
1、IT系統(tǒng)及安全建設規(guī)劃
2、系統(tǒng)發(fā)生重大變更
3、發(fā)生重大安全事件
4、法律法規(guī)合規(guī)性要求
1、GB/Z 24364-2009《信息安全技術 信息安全風險管理指南》
2、GB/T 20984-2007《 信息安全技術 信息安全風險評估規(guī)范》
3、GB/T 18336-2008《信息技術 安全技術 信息技術安全性評估準則》
4、ISO/IEC 27005:2008《信息技術–安全技術–信息安全風險管理》
5、NIST SP800-30《IT系統(tǒng)風險管理指南》
1、全面了解組織或系統(tǒng)的安全現(xiàn)狀;
2、全面掌握系統(tǒng)面臨的安全威脅和存在的脆弱性;
3、科學評價系統(tǒng)面臨的各類風險評價;
4、確定組織或系統(tǒng)的安全需求;
5、為制定安全管理、技術措施提供依據(jù);
6、制定落實防范措施及時有效抵御安全風險;
7、落實各種法律法規(guī)監(jiān)管要求。
