信息安全事件不可能完全避免,所以保障企业信息安全必须从风险管理的角度出发,控制、缓解和规避风险, 在信息安全和业务发展间找到平衡点。
当前信息系统的安全状况如何?当前信息系统的安全威胁有哪些?安全风险可能导致的损失是多少?在现有有限的安全投资如何抓住重点,是绝大多数企业都会面临的困扰。
信息安全风险评估是信息安全工作的重要工作环节,是信息安全保障体系建立过程中重要的评价方法和决策机制。随着信息安全形势日益严峻,以及国家有关信息安全的法律法规陆续出台,对信息安全工作的要求也越来越严格。信息安全风险评估,是了解、掌握信息系统安全现状,明确信息系统安全需求,贯彻落实各项信息安全管理制度、满足国家监管要求的重要手段。
1、IT系统及安全建设规划
2、系统发生重大变更
3、发生重大安全事件
4、法律法规合规性要求
1、GB/Z 24364-2009《信息安全技术 信息安全风险管理指南》
2、GB/T 20984-2007《 信息安全技术 信息安全风险评估规范》
3、GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》
4、ISO/IEC 27005:2008《信息技术–安全技术–信息安全风险管理》
5、NIST SP800-30《IT系统风险管理指南》
1、全面了解组织或系统的安全现状;
2、全面掌握系统面临的安全威胁和存在的脆弱性;
3、科学评价系统面临的各类风险评价;
4、确定组织或系统的安全需求;
5、为制定安全管理、技术措施提供依据;
6、制定落实防范措施及时有效抵御安全风险;
7、落实各种法律法规监管要求。
