安全風(fēng)險(xiǎn)評(píng)估方案

安全風(fēng)險(xiǎn)評(píng)估方案一、前言對(duì)于一家企業(yè)來說，安全風(fēng)險(xiǎn)評(píng)估是必須的過程。安全風(fēng)險(xiǎn)評(píng)估是一種用于評(píng)估系統(tǒng)、設(shè)備、網(wǎng)絡(luò)，或物理設(shè)備的安全體系或者網(wǎng)絡(luò)規(guī)劃的方法。在評(píng)估過程中，需考慮到潛在的受攻擊因素以及可能已經(jīng)存在的漏洞。本文將針對(duì)“安全風(fēng)險(xiǎn)評(píng)估方案”展開闡述。二、定義在開始編寫安全風(fēng)險(xiǎn)評(píng)估方案前我們需要確定安全風(fēng)險(xiǎn)評(píng)估的定義，所以安全風(fēng)險(xiǎn)評(píng)估是一種可以評(píng)估運(yùn)作系統(tǒng)或組織的安全能力和專業(yè)風(fēng)險(xiǎn)的系統(tǒng)方法。該評(píng)估將特別關(guān)注有意圖或無意中進(jìn)入該系統(tǒng)的入侵者，以及監(jiān)視數(shù)據(jù)安全過程中識(shí)別出來的事件。三、方案制定對(duì)于安全風(fēng)險(xiǎn)的評(píng)估方案需要制定下列計(jì)劃：1.確定評(píng)估范圍需要確定評(píng)估范圍，將系統(tǒng)或者組織劃分成評(píng)估范圍內(nèi)與范圍外兩部分。將考慮到以下內(nèi)容：-關(guān)鍵資源（如數(shù)據(jù)、系統(tǒng)、應(yīng)用程序），以及該資源所在的網(wǎng)絡(luò)；-對(duì)組織架構(gòu)中的運(yùn)營單位、各地區(qū)或不同經(jīng)營范圍中的業(yè)務(wù)單元進(jìn)行劃分；-考慮托管關(guān)系如，外包方和供應(yīng)商；-考慮離線存儲(chǔ)設(shè)備，如可撤銷磁盤、磁帶、USB驅(qū)動(dòng)器等；2.定義評(píng)估目標(biāo)在確定評(píng)估范圍后，我們需要達(dá)成以下目標(biāo)：-識(shí)別針對(duì)關(guān)鍵資源的安全威脅；-評(píng)估現(xiàn)有的安全管控體系的威脅應(yīng)對(duì)能力；-評(píng)估員工和其他人員是否遵循安全政策或規(guī)程，以及他們是否熟知、并容易操作這些規(guī)程；-闡述現(xiàn)有的安全慣例和流程，評(píng)估它們的質(zhì)量和效果；-提出改進(jìn)建議，提高現(xiàn)有的安全判定和受限控制體系的效率和效果；-準(zhǔn)備發(fā)行安全報(bào)表、運(yùn)營手冊(cè)或其他的安全建議；3.建立操作標(biāo)準(zhǔn)確定評(píng)估的操作步驟和管理標(biāo)準(zhǔn)，包含：-針對(duì)資產(chǎn)、威脅、弱點(diǎn)和安全慣例進(jìn)行分類和捕捉信息的數(shù)據(jù)庫，用于數(shù)字化威脅信息和統(tǒng)計(jì)；-了解不同攻擊工具和方式，確定其可能造成的威脅類型并建立威脅分類；-識(shí)別與描述系統(tǒng)威脅的流程，可以在評(píng)估企業(yè)的安全性能時(shí)作為體系之一；-確定難以實(shí)施或帶來高風(fēng)險(xiǎn)的任何測(cè)試；4.建立安全網(wǎng)絡(luò)構(gòu)建安全評(píng)估自己的網(wǎng)絡(luò)是必須的。包含：-部署可以密切審計(jì)系統(tǒng)中的事件日志的線上網(wǎng)絡(luò)；-確定能夠協(xié)作出一個(gè)安全評(píng)估團(tuán)隊(duì)的人，團(tuán)隊(duì)成員應(yīng)該分別具有不同領(lǐng)域的專長(zhǎng)，這樣可以集體分析威脅事件的來源；-在評(píng)估過程中要避免溝通上的誤解，組織所有的發(fā)現(xiàn)數(shù)據(jù)資料、分類和評(píng)估分析，確保大家都在同一階段。四、結(jié)論安全風(fēng)險(xiǎn)評(píng)估是對(duì)企業(yè)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的規(guī)劃的一項(xiàng)必須過程。在確定評(píng)估范圍、定義評(píng)估目標(biāo)、建立運(yùn)作標(biāo)準(zhǔn)和建立安全網(wǎng)絡(luò)的過程中，可能會(huì)出現(xiàn)