网络安全风险评估,有时候也简称为风险评估。网络安全风险评估评估标准_等级保护与风险评估有什么区别。需要与基金风险评估,食品风险评估,项目风险评估等其他类别的风险评估有所区分。随着今年5月13日网络安全等级保护制度2.0标准正式发布,确定实施时间为2019年12月1日后,很多事业单位、具有重要信息系统和网络应用的公司,开始纷纷注意到国家对于网络安全保护的重视。
因此,做好自身公司的网络安全风险评估,是积极响应国家网络安全整改政策,很好的一种方式。对于提升公司的网络安全,了解自有信息系统的安全性,提前预知和防御风险,非常有帮助。虽然很关心,但是术业有专攻.
网络安全风险评估涉及到什么内容,该怎么分析呢?这些问题也许也能够让行外的企业高管们有所困惑。
今天,小编,就简单为大家梳理一下,希望能够让你更了解网络安全风险评估的分析内容。
因此,做好自身公司的网络安全风险评估,是积极响应国家网络安全整改政策,很好的一种方式。对于提升公司的网络安全,了解自有信息系统的安全性,提前预知和防御风险,非常有帮助。
虽然很关心,但是术业有专攻,网络安全风险评估涉及到什么内容,该怎么分析呢?这些问题也许也能够让行外的企业高管们有所困惑。今天,小编,就简单为大家梳理一下,希望能够让你更了解网络安全风险评估的分析内容。
网络安全风险评估分析,一般包括资产识别、脆弱性识别和威胁识别。风险评估涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值(重要性);
威胁的属性是威胁出现频率;脆弱性的属性是脆弱性的严重程度。风险评估的主要内容为:
1、对资产进行识别,并对资产的重要性进行赋值;
2、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
3、对资产的脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;
4、根据威胁和脆弱性的识别结果判断安全事件发生的可能性;
5、根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
6、根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
通过上述的资产识别、脆弱性识别和威胁识别得出安全现状分析,得出相关评估结果,然后通过物理环境评估、系统网络评估、主机系统评估、应用系统评估、数据安全备份及恢复评估等内容,结合资产评估、脆弱性评估和威胁评估的结果进行关联分析。
在进行网络风险评估时,需要结合一些评估标准进行对比分析。天磊咨询从事网络风险评估多年,一般参考一些标准:
评估标准
OGB/T20269_2006《信息安全技术信息系统安全管理要求》
OYD/T 3169_2016《互联网新技术新技术新业务新安全评估指南》
OYDT 1730_2008《电信网和互联网安全风险评估实施指南》
OGB/T20984_2007《信息安全技术信息安全风险评估规范》
OYD/T1729_2008《电信网和互联网安全等级保护实施指南》
OYDB106_2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》
OYDB107_2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》
OYDB108_2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》
OYDB109_2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》
OYDB110_2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》
OYDB1112012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》
OYDB112_2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》
OYDB 113_2012《域名服务系统安全防护定级和评测实施规范》
OYDB 1142012《互联网内容分发网络安全防护要求》
OYDB 115_2012《互联网内容分发网络安全防护检测要求》
O YDB116_2012《互联网数据中心安全防护要求》
O YDB 117_2012《互联网数据中心安全防护检测要求》
等级保护和风险评估的区别
等保其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护 ,而风险评估是帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。