2022年2022年安全等級保護(hù)測評項(xiàng)目中的風(fēng)險管理

1、精選學(xué)習(xí)資料 - - - 歡迎下載安全等級愛護(hù)測評項(xiàng)目中的風(fēng)險治理精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載摘 要：信息系統(tǒng)安全等級測評為等保工作的重要環(huán)節(jié),等保測評工作的成果直接影響到等級愛護(hù)制度的落實(shí)及開展；目前等保測評機(jī)構(gòu)在測評項(xiàng)目的開展過程中,會遇到各種各樣的因素影響測評項(xiàng)目的實(shí)施；為了有效地開展等級愛護(hù)測評工作,需要在項(xiàng)目實(shí)施過程中對其所可能遇到的風(fēng)險進(jìn)行治理；本文主要運(yùn)用風(fēng)險治理方法,對測評活動中的主要風(fēng)險進(jìn)行分析,通過分析在不同階段面臨的風(fēng)險值,來評判各測評項(xiàng)目階段主要需要應(yīng)對的風(fēng)險內(nèi)容, 并在此基礎(chǔ)上面提出了相應(yīng)的應(yīng)對措施；關(guān)鍵詞 ：等級愛護(hù)；測評；風(fēng)險治理；the ris

2、k management of information security level protection assessmenthu hao china unicom system integration limited corporation、 beijing 100032abstract：assessment is an important part of information system security level protection、 the result directly affect the level protection system anddeveloping the

3、 implementation. at present the evaluation institutions would meet various factors which affect assessment project implementation. in order to effectively develop level protection、 the possible risk in projectimplementation process should bemanaged. this paper mainly with the application of risk man

4、agement methods of assessment activities、 the main risk analysis in different stages、 by analyzing the risks of value、 to evaluate thetest project phase is needs to deal with risk content、 and based on this、 it puts forward the corresponding countermeasures.key words ：information security level prot

5、ection 、assessment、 risk management精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載0 引言信息安全等級愛護(hù)制度為國家信息安全保證工作的基本制度.基本策略和基本方法,為促進(jìn)信息化健康進(jìn)展,愛護(hù)國家安全.社會秩序和公共利益的根本保證；信息安全等級愛護(hù)測評為等級愛護(hù)工作的重要環(huán)節(jié),信息系統(tǒng)備案單位通過開展等級測評,可以查找自身系統(tǒng)安全隱患和薄弱環(huán)節(jié),明確系統(tǒng)與相應(yīng)等級標(biāo)準(zhǔn)要求的差距和不足,有針對性地進(jìn)行安全建設(shè)整改；2等級測評工作對于測評機(jī)構(gòu)來說,測評風(fēng)險為一個特別重要的概念；參考美國風(fēng)險治理專家3c·arther williams, jr rocjard

6、 m heoms作出的風(fēng)險定義,即“給定情形下的可能結(jié)果的差異性”；也就為說,測評風(fēng)險就為測評機(jī)構(gòu)通過掌握自身測評活動所產(chǎn)生的測評結(jié)果差異性；而測評結(jié)果的差異性將直接影響到信息系統(tǒng)的安全性及等保測評工作的有效性上面,隨著等級愛護(hù)工作的開展,行業(yè)主管部門及被測評單位對于測評結(jié)果的精確程度及測評過程中的風(fēng)險掌握要求越來越嚴(yán)格；為了連續(xù)性的開展等保測評業(yè)務(wù),測評項(xiàng)目工作中的風(fēng)險掌握將成為測評機(jī)構(gòu)所面臨的重要任務(wù)；6依據(jù)風(fēng)險治理的定義：風(fēng)險為指可能對目標(biāo)的實(shí)現(xiàn)產(chǎn)生影響的大事發(fā)生的不確定性；對企業(yè)來說,風(fēng)險為某種不利因素產(chǎn)生并造成實(shí)際缺失,致使企業(yè)目標(biāo)無法實(shí)現(xiàn)或降低實(shí)現(xiàn)目標(biāo)的效率的可能性；風(fēng)險治理就為實(shí)

7、行肯定的措施對風(fēng)險進(jìn)行檢測評判,使風(fēng)險降到可以接受的程度,并將其掌握在某一可以接受的水平上；風(fēng)險治理為一個系統(tǒng)過程,包括風(fēng)險的識別.衡量和掌握等環(huán)節(jié)；風(fēng)險治理的目標(biāo)在于掌握和削減缺失,提高有關(guān)單位或個人的經(jīng)濟(jì)利益或社會成效；風(fēng)險治理為一種治理方法 ；本文主要運(yùn)用風(fēng)險治理方法,對測評活動中的主要風(fēng)險進(jìn)行分析,并提出相應(yīng)的應(yīng)對措施1 測評項(xiàng)目風(fēng)險識別等保測評工作存在風(fēng)險,而測評風(fēng)險為可以識別的,只有識別出測評風(fēng)險,才能對風(fēng)險加以掌握和防范；下文對在測評過程中,簡單顯現(xiàn)的主要風(fēng)險進(jìn)行分析；1.1 有效性風(fēng)險等級測評為對客戶的信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)符合性評判,系統(tǒng)信息的采集.評判尤為重要,測評結(jié)果的有效性.

8、符合性與一樣性直接關(guān)系測評機(jī)構(gòu)的服務(wù)質(zhì)量與信譽(yù),關(guān)系到測評機(jī)構(gòu)的生存和進(jìn)展；在等級測評過程中第一要進(jìn)行的為信息收集工作,在信息收集的過程中,常常會存在信息收集不完整.信息描述不精確等問題,而不精確的信息將會對測評方案編制工作中測評指標(biāo)及測評對象的挑選帶來偏差；而在作業(yè)指導(dǎo)書的編制過程及現(xiàn)場測評中,不同工程師對標(biāo)準(zhǔn)要精品學(xué)習(xí)資料精選學(xué)習(xí)資料 - - - 歡迎下載求的懂得也會影響到測評工作的有效性和精確性；在報告編制過程中測評師對測評結(jié)果的分析為否合理,對于測評結(jié)論的有效性也有較大影響；1.2 公平性風(fēng)險等級測評工作的結(jié)論對于國家等級愛護(hù)體系及信息安全治理有著相當(dāng)重要的作用；同時,等級測評的報告對

9、于被測評單位的信息安全治理工作也有著比較重要的影響；因此,等級愛護(hù)測評報告的公平性為特別重要的,關(guān)系到測評機(jī)構(gòu)的信譽(yù)；在測評過程中,測評工程師.測評機(jī)構(gòu)通常會受到市場競爭壓力.測評機(jī)構(gòu)自身業(yè)務(wù)進(jìn)展壓力.被測評機(jī)構(gòu)合同及財(cái)務(wù)壓力等多方面的影響,從而導(dǎo)致測評結(jié)論的公平性問題；1.3 保密性風(fēng)險等級測評工作,要求測評機(jī)構(gòu)深化明白被測評系統(tǒng)的治理.技術(shù)及業(yè)務(wù)方面的信息；而這些信息大部分涉及到企業(yè)或機(jī)構(gòu)的商業(yè).工作隱秘；假如測評工作中,測評機(jī)構(gòu)泄漏了檢測單位的系統(tǒng)狀態(tài)信息,如網(wǎng)絡(luò)拓?fù)?ip 地址.業(yè)務(wù)流程.安全機(jī)制.安全隱患和有關(guān)文檔信息,將會對檢測單位的信息系統(tǒng)帶來極大的安全問題；因此,保密性風(fēng)險的掌

10、握,為測評工作能夠順當(dāng)開展的前提條件；在測評過程中,資料收集.現(xiàn)場測評記錄.編制報告等活動都會使用到被測評單位系統(tǒng)相關(guān)信息,在信息的使用和交換過程中多存在著信息泄漏的風(fēng)險；1.4 實(shí)施操作風(fēng)險測評人員在客戶現(xiàn)場實(shí)施測評,為等級測評中的主要活動,被測評單位生產(chǎn)現(xiàn)場環(huán)境復(fù)雜,信息系統(tǒng)在網(wǎng)運(yùn)行；一旦在現(xiàn)場測評的過程中,發(fā)生信息安全問題,將會對被測評方的信息系統(tǒng)帶來比較嚴(yán)峻的損害,有可能會造成系統(tǒng)中斷.數(shù)據(jù)丟失等；嚴(yán)峻的可能帶來經(jīng)濟(jì)方面的缺失；因此,現(xiàn)場測評的安全風(fēng)險規(guī)避為測評機(jī)構(gòu)應(yīng)當(dāng)重視和討論的重要問題；上一頁 1 2下一頁在現(xiàn)場測評時,需要對設(shè)備和系統(tǒng)進(jìn)行肯定的驗(yàn)證測試工作,部分測試內(nèi)容需要上機(jī)查看一些信息,這就可能對系統(tǒng)的運(yùn)行造成肯定的影響,甚至存在誤操作的可能；同時,在測評過程中,會使用一些技術(shù)測評工具進(jìn)行漏洞掃描測試.性能測試甚至抗?jié)B透才能測試；測試可能會對系統(tǒng)的負(fù)載造成肯定的影響,漏洞掃描測試和滲透測試可能