風(fēng)險評估流程

1、風(fēng)險評估流程（總3頁）-本頁僅作為文檔封面，使用時請直接刪除即可-內(nèi)頁可以根據(jù)需求調(diào)整合適字體及大小-l險評估流程風(fēng)險評估是風(fēng)險管理的基礎(chǔ)，是組織確定信息安全要求的途徑之一，屈于企業(yè)信息安全管理 體系策劃的過程。通過風(fēng)險評估識別企業(yè)所面臨的安全風(fēng)險并確定風(fēng)險控制的優(yōu)先等級，從而 對其實施有效控制，將風(fēng)險控制在企業(yè)可以接受的范圍之內(nèi)。1、在風(fēng)險評估中，考慮的主要因素包括：1）信息資產(chǎn)及其價值2）對這些資產(chǎn)的威脅，以及它們發(fā)生的可能性3）薄弱點4）已有的安全控制措施2、風(fēng)險評估的基本流程如下：1）按照企業(yè)商務(wù)運作流程進(jìn)行信息資產(chǎn)識別，并根據(jù)估價原 則對信息資產(chǎn)進(jìn)行估價2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅

2、識別與評價3）對應(yīng)每一個威脅，對 資產(chǎn)或組織存在的薄弱點進(jìn)行識別與評價4）對以采取的安全控制進(jìn)行確認(rèn)5）建立風(fēng)險測 呈的方法及風(fēng)險等級評價原則，確定風(fēng)險的大小與等級風(fēng)險評估的形式風(fēng)險評估的形式按照評估實施者的不同，可將風(fēng)險評估形式分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量對其自身的信息系統(tǒng)進(jìn)行的風(fēng) 險評估活動。檢查評估則通當(dāng)是被評估信息系統(tǒng)的擁有者的上級主管機關(guān)或業(yè)務(wù)主管機關(guān) 發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強制意味的檢查活動，是通過行政手段 加強信息安全的重要措施。自評估和檢查評估都可以通過信息安全風(fēng)險評估服務(wù)機構(gòu)進(jìn)行風(fēng) 險評估的咨詢、服務(wù)、培

3、訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。而自評估是企業(yè)嵌不可或缺的安全 評估方式，它是檢查評估的基礎(chǔ)和必要條件。不論是保證企業(yè)日'常信息系統(tǒng)的正常運行，還是 滿足上級檢查評估，自評估都發(fā)揮著舉足輕重的作用。風(fēng)險評估的流程項目啟動T類風(fēng)險識別P類風(fēng)險識別E類風(fēng)險識別漏洞掃描人工審核網(wǎng)壽撲調(diào)研訪談間卷調(diào)查網(wǎng)絡(luò)安全現(xiàn)狀報告安全評估報告網(wǎng)絡(luò)安全建議一般來說，電信IP網(wǎng)絡(luò)風(fēng)險評估實施過程主要包括以下兒個階段：1.確定評估范圉：調(diào)查并了解IP網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)拓?fù)?、評估對象、系統(tǒng)業(yè)務(wù)流程和運 行環(huán)境，確定評估范圍的邊界以及范圉內(nèi)所有的評估對象；2.資產(chǎn)識別和估價：對評估范圉內(nèi)的所有電信資產(chǎn)進(jìn)行調(diào)查和識別，并根據(jù)該資產(chǎn)在網(wǎng)絡(luò)中 的位置作用、所承載業(yè)務(wù)系統(tǒng)的重要性、所存儲數(shù)據(jù)的重要程度等因素，對各 資產(chǎn)的相對價值進(jìn)行評估和賦值；3.安全漏洞評估：主要通過工具掃描、手工檢查、滲透測試、拓?fù)浞治龅仁侄螌W(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層面的各種 安全漏洞進(jìn)行識別和評估；4安全威脅評估：通過問卷調(diào)查、IDS取樣、日志分析等方式識別出資產(chǎn)所面臨的各種威脅，并評估它們發(fā)生的可能性；5.安全管理調(diào)查：通過調(diào)研、問卷調(diào)查和人員訪談等方式對節(jié)點安全管理措施的 完備性和有效性進(jìn)行評估；6.物理安全檢查：通過前往機房現(xiàn)場進(jìn)行檢查、人員訪談、問卷調(diào)查等方式對物理環(huán)境安全進(jìn)行檢查和評估；7.風(fēng)險