信息安全風(fēng)險(xiǎn)評(píng)估流程27p_第1頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估流程27p_第2頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估流程27p_第3頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估流程27p_第4頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估流程27p_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

LOGO信息平安風(fēng)險(xiǎn)評(píng)估流程信息平安風(fēng)險(xiǎn)評(píng)估流程培訓(xùn)講師:jindaly培訓(xùn)日期:2021.6一、風(fēng)險(xiǎn)評(píng)估概述

二、風(fēng)險(xiǎn)評(píng)估目的

三、風(fēng)險(xiǎn)評(píng)估范圍

四、風(fēng)險(xiǎn)評(píng)估流程

五、風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)一、風(fēng)險(xiǎn)評(píng)估概述信息平安風(fēng)險(xiǎn)評(píng)估的概念在業(yè)內(nèi)有多種說法,從國(guó)標(biāo)?評(píng)估指南?對(duì)信息平安風(fēng)險(xiǎn)評(píng)估的表述中看出,評(píng)估涉及資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)四個(gè)主要因素。風(fēng)險(xiǎn)管理是區(qū)分信息系統(tǒng)潛在的風(fēng)險(xiǎn),對(duì)其進(jìn)行評(píng)估,并采取措施將其降低到可接受的水平的過程,而風(fēng)險(xiǎn)評(píng)估是其中最重要的環(huán)節(jié)。一、風(fēng)險(xiǎn)評(píng)估概述信息平安風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息平安技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等平安屬性進(jìn)行評(píng)價(jià)的過程。信息平安風(fēng)險(xiǎn)評(píng)估從管理的角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及存在的脆弱性。評(píng)估平安事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性地抵御平安威脅的防護(hù)措施,為防范和化解信息平安風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可以接受的水平,最大限度地保障網(wǎng)絡(luò)正常運(yùn)行和信息平安提供科學(xué)依據(jù)。二、風(fēng)險(xiǎn)評(píng)估目的信息平安風(fēng)險(xiǎn)評(píng)估是加強(qiáng)信息平安保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié),通過開展信息平安風(fēng)險(xiǎn)評(píng)估工作,可以發(fā)現(xiàn)信息系統(tǒng)存在的主要問題和矛盾,找到解決諸多關(guān)鍵問題的方法。信息平安風(fēng)險(xiǎn)評(píng)估旨在認(rèn)清信息平安環(huán)境,信息平安狀況,有助于達(dá)成共識(shí),明確責(zé)任,采取和完善平安保障措施,使其更加經(jīng)濟(jì)有效,并使信息平安策略保持一致性和持續(xù)性。并為信息系統(tǒng)的建設(shè)和改造提供依據(jù),幫助信息平安建設(shè)者正確判斷系統(tǒng)存在風(fēng)險(xiǎn)與漏洞,并采取適當(dāng)補(bǔ)救措施。風(fēng)險(xiǎn)評(píng)估可以科學(xué)地分析和理解信息系統(tǒng)在保密性、完整性、可用性等方面的工作,只有正確、全面地了解理解平安風(fēng)險(xiǎn)后才能決定如何處理平安風(fēng)險(xiǎn),從而在信息平安的投資,信息平安措施的選擇,信息平安保障體系的建設(shè)做出合理的決策。三、風(fēng)險(xiǎn)評(píng)估范圍信息平安風(fēng)險(xiǎn)評(píng)估適用于在信息平安管理體系下的所有信息資產(chǎn)、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程所做的一切風(fēng)險(xiǎn)評(píng)估。信息平安風(fēng)險(xiǎn)評(píng)估包括信息資產(chǎn)的風(fēng)險(xiǎn)識(shí)別、評(píng)估與管理,即信息系統(tǒng)網(wǎng)絡(luò)、管理制度、使用或管理信息系統(tǒng)的相關(guān)人員以及由信息系統(tǒng)使用時(shí)產(chǎn)生的文檔、數(shù)據(jù)等的風(fēng)險(xiǎn)識(shí)別、評(píng)估與管理。四、風(fēng)險(xiǎn)評(píng)估流程信息平安風(fēng)險(xiǎn)評(píng)估的典型過程主要分為風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有平安措施確認(rèn)和風(fēng)險(xiǎn)分析六個(gè)階段。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別已有平安措施確認(rèn)風(fēng)險(xiǎn)分析四、風(fēng)險(xiǎn)評(píng)估流程該階段的主要任務(wù)是制訂評(píng)估工作方案,包括評(píng)估目標(biāo)、評(píng)估范圍、制訂信息平安風(fēng)險(xiǎn)評(píng)估工作方案,并根據(jù)評(píng)估工作需要,組建評(píng)估團(tuán)隊(duì),明確各方職責(zé)。

在風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段,需要屢次與被評(píng)估方磋商,了解被評(píng)估方關(guān)注的重點(diǎn),明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)和范圍,為整個(gè)風(fēng)險(xiǎn)評(píng)估工作提供向?qū)АT诖_定評(píng)估范圍和目標(biāo)之后,根據(jù)被評(píng)估對(duì)象的網(wǎng)絡(luò)規(guī)模、復(fù)雜度、特殊性,成立評(píng)估工作小組,明確各方人員組成及職責(zé)分工。建立評(píng)估團(tuán)隊(duì)后,由評(píng)估工作人員進(jìn)行現(xiàn)場(chǎng)調(diào)研,由被評(píng)估方介紹網(wǎng)絡(luò)構(gòu)建情況,平安管理制度和采取的平安防護(hù)措施以及業(yè)務(wù)運(yùn)行情況。評(píng)估工作小組根據(jù)調(diào)研情況撰寫信息平安風(fēng)險(xiǎn)評(píng)估工作方案。1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備四、風(fēng)險(xiǎn)評(píng)估流程確定目標(biāo)確定范圍組建團(tuán)隊(duì)系統(tǒng)調(diào)研確定依據(jù)制定方案1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備四、風(fēng)險(xiǎn)評(píng)估流程做好風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的相關(guān)工作之后,需要通過多種途徑采集評(píng)估對(duì)象的資產(chǎn)信息,為風(fēng)險(xiǎn)評(píng)估后續(xù)各階段的工作提供根本素材。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)平安屬性。風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)在這三個(gè)平安屬性上的達(dá)成程度或其平安屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。資產(chǎn)識(shí)別主要通過向被評(píng)估方發(fā)放資產(chǎn)調(diào)查表來(lái)完成。在識(shí)別資產(chǎn)時(shí),以被評(píng)估方提供的資產(chǎn)清單為依據(jù),對(duì)重要和關(guān)鍵資產(chǎn)進(jìn)行標(biāo)注,對(duì)評(píng)估范圍內(nèi)的資產(chǎn)詳細(xì)分類,防止遺漏,劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界內(nèi)的每一項(xiàng)資產(chǎn)都應(yīng)經(jīng)過仔細(xì)確認(rèn)。2.資產(chǎn)識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)分類資產(chǎn)分類方法:根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、效勞、人員等類型。在實(shí)際工作中,具體的資產(chǎn)分類方法可根據(jù)具體的評(píng)估對(duì)象和要求,由評(píng)估者靈活把握。資產(chǎn)賦值 根據(jù)資產(chǎn)在保密性、完整性、可用性上的不同要求,對(duì)資產(chǎn)進(jìn)行保密性賦值、完整性賦值、可用性賦值。 資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性、可用性上的賦值等級(jí),經(jīng)過綜合評(píng)定得出。2.資產(chǎn)識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程在識(shí)別威脅時(shí),應(yīng)根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來(lái)判斷,威脅識(shí)別主要通過采集入侵檢測(cè)系統(tǒng)〔IDS〕的報(bào)警信息、威脅問卷調(diào)查和對(duì)技術(shù)人員做參謀訪談的方式。為了確保收集到的威脅信息客觀準(zhǔn)確,威脅問卷調(diào)查的對(duì)象要覆蓋被評(píng)估對(duì)象的領(lǐng)導(dǎo)層、技術(shù)主管、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、平安管理人員和普通員工等。參謀訪談要針對(duì)不同的訪談對(duì)象制訂不同的訪談提綱。威脅識(shí)別的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物,威脅源可能是蓄意也可能是偶然的因素,通常包括人、系統(tǒng)和自然環(huán)境等。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅,而一個(gè)威脅也可能對(duì)不同的資產(chǎn)造成影響。威脅識(shí)別完成后還應(yīng)該對(duì)威脅發(fā)生的可能性進(jìn)行評(píng)估,列出威脅清單,描述威脅屬性,并對(duì)威脅出現(xiàn)的頻率賦值。3.威脅識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程威脅分類威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述,造成威脅的因素可分為人為因素和環(huán)境因素。在對(duì)威脅進(jìn)行分類前,應(yīng)考慮威脅的來(lái)源。威脅賦值 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和〔或〕有關(guān)統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。3.威脅識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估工作過程中最為復(fù)雜、較難把握的環(huán)節(jié),同時(shí)也是非常重要的環(huán)節(jié),對(duì)評(píng)估工作小組成員的專業(yè)技術(shù)水平要求較高。脆弱性分為管理脆弱性和技術(shù)脆弱性。管理脆弱性調(diào)查主要通過發(fā)放管理脆弱性調(diào)查問卷、參謀訪談以及收集分析現(xiàn)有的管理制度來(lái)完成;技術(shù)脆弱性檢測(cè)主要借助專業(yè)的脆弱性檢測(cè)工具和對(duì)評(píng)估范圍內(nèi)的各種軟硬件平安配置進(jìn)行檢查來(lái)識(shí)別。在工作過程中,應(yīng)注意脆弱性識(shí)別的全面性,包括物理、網(wǎng)絡(luò)、應(yīng)用和管理等方面。為了分析脆弱性影響的嚴(yán)重程度,最好對(duì)關(guān)鍵資產(chǎn)的脆弱性進(jìn)行深度檢測(cè)和驗(yàn)證,比方關(guān)鍵效勞的身份認(rèn)證等。識(shí)別完成之后,還要對(duì)具體資產(chǎn)的脆弱性嚴(yán)重程度進(jìn)行賦值。脆弱性嚴(yán)重程度可以等級(jí)化處理,不同等級(jí)分別表示資產(chǎn)脆弱性嚴(yán)重程度的上下。等級(jí)數(shù)值越大,脆弱性嚴(yán)重程度越高。4.脆弱性識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別脆弱性識(shí)別可以以資產(chǎn)為核心,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估;也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別,然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家平安標(biāo)準(zhǔn),也可以是行業(yè)標(biāo)準(zhǔn)、應(yīng)用流程的平安要求。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn),其脆弱性嚴(yán)重程度是不同的,評(píng)估者應(yīng)從組織平安策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。 脆弱性識(shí)別包括兩個(gè)方面,即技術(shù)脆弱性和管理脆弱性。 脆弱性識(shí)別所采用的方法:?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性賦值 根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度,采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。4.脆弱性識(shí)別四、風(fēng)險(xiǎn)評(píng)估流程平安措施確實(shí)認(rèn)應(yīng)評(píng)估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。有效的平安控制措施,可以降低平安事件發(fā)生的可能性,也可以減輕平安事件造成的不良影響。對(duì)有效的平安措施繼續(xù)保持,以防止不必要的工作和費(fèi)用,防止平安措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)钠桨泊胧?yīng)該核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正,或采用更適宜的平安措施予以替代。因此,在進(jìn)行平安風(fēng)險(xiǎn)分析計(jì)算之前,有必要識(shí)別目前已有的平安控制措施,包括平安控制措施的識(shí)別與確認(rèn)、管理和操作控制措施的識(shí)別與確認(rèn)。并對(duì)措施的有效性進(jìn)行分析,為后續(xù)的風(fēng)險(xiǎn)分析提供參考依據(jù)。平安措施識(shí)別與確認(rèn),應(yīng)由評(píng)估小組的平安控制措施識(shí)別小組、平安設(shè)備管理人員及平安設(shè)備廠家技術(shù)人員共同參與。5.已有平安措施確認(rèn)四、風(fēng)險(xiǎn)評(píng)估流程平安措施可分為預(yù)防性平安措施和保護(hù)性平安措施兩種。預(yù)防性平安措施可以降低威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性,如入侵檢測(cè)系統(tǒng);保護(hù)性平安措施可以減少因平安事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。5.已有平安措施確認(rèn)四、風(fēng)險(xiǎn)評(píng)估流程6.風(fēng)險(xiǎn)分析

脆弱性識(shí)別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險(xiǎn)值資產(chǎn)識(shí)別平安事件的可能性威脅識(shí)別風(fēng)險(xiǎn)分析原理圖四、風(fēng)險(xiǎn)評(píng)估流程6.風(fēng)險(xiǎn)分析構(gòu)成風(fēng)險(xiǎn)的要素主要有資產(chǎn)、威脅和脆弱性,在識(shí)別了這些要素之后,就可以確定存在什么風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析階段需要完成的工作主要有3項(xiàng):風(fēng)險(xiǎn)計(jì)算、形成風(fēng)險(xiǎn)評(píng)估報(bào)告和給出風(fēng)險(xiǎn)控制建議。風(fēng)險(xiǎn)計(jì)算是針對(duì)每一項(xiàng)信息資產(chǎn)、根據(jù)其自身存在的脆弱性列表、所面臨的威脅列表,考慮資產(chǎn)自身在信息系統(tǒng)中的重要程度〔資產(chǎn)賦值〕,依據(jù)風(fēng)險(xiǎn)計(jì)算公式,計(jì)算出該信息資產(chǎn)的風(fēng)險(xiǎn)值,最終形成風(fēng)險(xiǎn)列表。風(fēng)險(xiǎn)評(píng)估報(bào)告主要結(jié)合風(fēng)險(xiǎn)評(píng)估工作過程中采集到的中間數(shù)據(jù),對(duì)信息系統(tǒng)中的平安風(fēng)險(xiǎn)進(jìn)行定性和定量分析。風(fēng)險(xiǎn)控制建議主要由評(píng)估工作小組在對(duì)被評(píng)估對(duì)象的平安現(xiàn)狀進(jìn)行綜合分析的根底上,有針對(duì)性地給出。風(fēng)險(xiǎn)只能被預(yù)防、防止、降低、轉(zhuǎn)移或接受,而不可能完全消除。高風(fēng)險(xiǎn)和嚴(yán)重風(fēng)險(xiǎn)是不可接受的,必須選擇實(shí)施相應(yīng)的對(duì)策來(lái)消減。對(duì)于中等風(fēng)險(xiǎn)和低風(fēng)險(xiǎn),可以選擇接受,一般評(píng)估工作小組應(yīng)針對(duì)被評(píng)估對(duì)象的中低風(fēng)險(xiǎn)給出風(fēng)險(xiǎn)控制建議。四、風(fēng)險(xiǎn)評(píng)估流程6.風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(La,Va)) 其中,R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;La表示平安事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件發(fā)生的可能性;F表示平安事件發(fā)生后產(chǎn)生的損失。風(fēng)險(xiǎn)結(jié)果判斷 為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理,可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。風(fēng)險(xiǎn)處理方案 對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理方案。剩余風(fēng)險(xiǎn)評(píng)估 在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)平安措施后,為確保平安措施的有效性,可進(jìn)行再評(píng)估,以判斷實(shí)施平安措施后的剩余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。四、風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估文件記錄〔1〕風(fēng)險(xiǎn)評(píng)估方案:闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等;〔2〕風(fēng)險(xiǎn)評(píng)估程序:明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文件要求,并且準(zhǔn)備實(shí)施評(píng)估需要的文檔;〔3〕資產(chǎn)識(shí)別清單:根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別,形成資產(chǎn)識(shí)別清單,清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門;〔4〕重要資產(chǎn)清單:根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果,形成重要資產(chǎn)列表,包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等;〔5〕威脅列表:根據(jù)威脅識(shí)別和賦值的結(jié)果,形成威脅列表,包括威脅名稱、種類、來(lái)源、動(dòng)機(jī)及出現(xiàn)的頻率等;〔6〕脆弱性列表:根據(jù)脆弱性識(shí)別和賦值的結(jié)果,形成脆弱性列表,包括脆弱性名稱、描述、類型及嚴(yán)重程度等;〔7〕已有平安措施確認(rèn)表:根據(jù)已采取的平安措施確認(rèn)的結(jié)果,形成已有平安措施確認(rèn)表,包括已有平安措施名稱、類型、功能描述及實(shí)施效果等;〔8〕風(fēng)險(xiǎn)評(píng)估報(bào)告:對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行總結(jié),詳細(xì)說明被評(píng)估對(duì)象,風(fēng)險(xiǎn)評(píng)估方法,資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果,風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容;〔9〕風(fēng)險(xiǎn)處理方案:對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理方案,選擇適當(dāng)?shù)目刂颇繕?biāo)及平安措施,明確責(zé)任、進(jìn)度、資源,并通過對(duì)剩余風(fēng)險(xiǎn)的評(píng)價(jià)確保所選擇平安措施的有效性;〔10〕風(fēng)險(xiǎn)評(píng)估記錄:根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件,記錄對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過程。

五、風(fēng)險(xiǎn)評(píng)估工作的要點(diǎn)第一,各級(jí)領(lǐng)導(dǎo)對(duì)評(píng)估工作的重視。風(fēng)險(xiǎn)評(píng)估工作只有得到各級(jí)領(lǐng)導(dǎo)的廣泛認(rèn)同和支持,才能順利地開展并卓有成效地進(jìn)行,獲得客觀、真實(shí)和有效的評(píng)估結(jié)果,作為今后信息平安建設(shè)的重要參考依據(jù)。第二,加強(qiáng)評(píng)估工作的組織和管理。信息平安風(fēng)險(xiǎn)評(píng)估工作啟動(dòng)后,應(yīng)及時(shí)組建評(píng)估工程組,加強(qiáng)對(duì)整個(gè)評(píng)估工作的組織和管理。工程組主要包括工程領(lǐng)導(dǎo)小組、工程負(fù)責(zé)人和工程工作小組。做好風(fēng)險(xiǎn)評(píng)估工作,特別要注意以下五方面的工作:五、風(fēng)險(xiǎn)評(píng)估工作的要點(diǎn)第三,注意評(píng)估過程中的風(fēng)險(xiǎn)控制。評(píng)估工作過程中所面臨的風(fēng)險(xiǎn),主要是敏感信息泄露和評(píng)估過程中的各種技術(shù)性評(píng)估帶來(lái)的。躲避敏感信息泄露風(fēng)險(xiǎn),主要應(yīng)該注意幾點(diǎn):參與評(píng)估的人員必須遵守國(guó)家有關(guān)信息平安的法律法規(guī)以及總行關(guān)于信息平安的相關(guān)管理規(guī)定,承擔(dān)相應(yīng)的義務(wù)和責(zé)任;被評(píng)估方應(yīng)與參與評(píng)估的所有人員簽訂具有法律約束力的保密協(xié)議;評(píng)估過程中做好審核確認(rèn)工作。對(duì)于躲避技術(shù)性評(píng)估所帶來(lái)的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論