好文档就是一把金锄头!
| 帮助中心
电子文档交易市场
安卓APP | ios版本
上传文档赚钱
电子文档交易市场
安卓APP | ios版本
上传文档赚钱
热门分类
首页 PPT模板库 文档定制
您所在位置: 网站首页 > IT计算机/网络 > 评测 > 信息安全风险评价准则

信息安全风险评价准则

5页
  • 卖家[上传人]:曙***
  • 文档编号:548957020
  • 上传时间:2024-06-19
  • 文档格式:DOCX
  • 文档大小:25.96KB
    • / 5 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题

      • 1、信息安全风险评价准则一 概述为确保XXXX公司有效的开展信息安全风险评估工作,结合公司信息安全现状及安全需求,特制定本准则。该准则用于指导XXXX公司在开展各类信息安全风险评估时的风险评价和控制活动。在开展风险评估活动时,依据本准则对风险进行等级化处理,并根据风险等级制定相应的风险控制和管理措施。二 评价依据2.1 主要依据的标准:信息安全技术 信息安全风险评估方法(GB/T 209842022)2.2 其他参考标准:信息安全技术 信息系统安全保障评估框架(GB/T 20274-2008)信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)信息安全技术信息安全风险处理实施指南(GB/T 33132-2016)信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)信息技术 安全技术 信息安全管理体系要求(GB/T 22080-2016)计算机信息系统 安全保护等级划分准则(GB 17859-1999)计算机场地安全要求(GB/T 9361-2011)信息安全技术 操作系统安全技

      2、术要求(GB/T 20272-2019)信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)信息安全技术 网络基础安全技术要求(GB/T 20270-2006)信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)(行标或行业要求)自行添加三 评价准则信息安全风险评价包括系统资产风险评价和业务风险评价。对系统资产风险值进行等级化处理,能够更好的管理和控制信息安全风险。风险等级的划分标准如下表所示。3.1 系统资产风险评价准则表 31系统资产风险等级划分表等级标识风险值等级划分描述5很高(4-5风险发生的可能性很高,对系统资产产生很高的影响4高(3-4风险发生的可能性很高,对系统资产产生中等及高影响风险发生的可能性高,对系统资产产生高及以上影响风险发生的可能性中,对系统资产产生很高影响3中等(2-3风险发生的可能性很高,对系统资产产生低及以下影响风险发生的可能性高,对系统资产产生中及以下影响风险发生的可能性中,对系统资产产生高、中、低影响2低(1-2风险发生的可能性中,对系统资产产生很低影响风险发生的可能性低,对系统资产产生低及以下影响险发生的可能性

      3、很低,对系统资产产生中、低影响1很低(0-1风险发生的可能性很低,发生后对系统资产几乎无影响3.2 业务风险评价准则表 32业务风险等级划分表等级标识风险等级划分描述5很高(4-5社会影响a)对国家安全、社会秩序和公共利益造成影响;b)对公民、法人和其他组织的合法性权益造成严重程度组织影响a)导致职能无法履行或业务无法开展;b)触犯国家法律法规;c)造成非常严重的财产损失。4高(3-4社会影响对公民、法人和其他组织的合法权益造成较大影响组织影响a)导致职能履行或业务开展受到严重影响;b)造成严重的财产损失。3中等(2-3社会影响对公民、法人和其他组织的合法权益造成影响组织影响a)导致职能履行或业务开展受到影响;b)造成较大的财产损失2低(1-2组织影响a)导致职能履行或业务开展受到较小影响;b)造成一定的财产损失1很低(0-1组织影响造成较小的财产损失四 风险控制4.1 风险处置方式降低风险:谋求减低不利风险发生的可能性和/或影响程度。减轻策略的例子:采用不那么复杂的流程;选择更可靠的供应商;进行更系统化的、更彻底的测试;冗余设计;增加资源或时间。规避风险:改变项目计划以消灭风险或保护

      4、项目目标免受影响。虽然不可能消灭所有的风险,但对具体风险来说是可以避免的。某些风险可以通过需求再确认、获取更详细信息、增强沟通、增派专家等方法得以避免。其他风险规避的例子:缩小项目工作范围以避免某些高风险的任务活动;采用更成熟的技术方案而非先进但尚未成熟的方案;避免跟不熟悉的服务提供商签约。转移风险:把风险的影响和责任转嫁给第三方,并不消灭风险。通常要为第三方付费用作为承担风险的报酬,采用合同形式。风险转移的例子:保险;业绩奖罚条款; 维护保修承诺。接受风险:面对风险选择不对项目计划作任何改变或干脆无计可施。积极的接受:制定应急计划并在风险发生时执行,风险征兆应被监视。应急计划可以大大减少处理麻烦的费用。消极的接受:“默默地承受”。对于高风险的事件可制定“退却计划” :风险准备金、备用方案、改变工作范围。最常用的措施是风险储备(预留):费用、资源、时间。风险储备的多少取决于风险的概率、影响和可接受的风险损失。4.2 风险处置原则n 风险等级高于(含)3的,为不可接受风险,采取安全措施予以处理。若无法处理,则需说明原因.并通过专家论证会的形式予以论证;n 风险等级为2的需通过成本分析决定风险是否可以接受;n 风险等级为1的,为可接受风险,不再予以处理。

      《信息安全风险评价准则》由会员曙***分享,可在线阅读,更多相关《信息安全风险评价准则》请在金锄头文库上搜索。

      点击阅读更多内容
    新上传的文档
    钢结构吊装对环境的影响 标准厂房建设厂区规划与布局 低空经济产业园的产业发展趋势分析 智算产业园的技术发展趋势 标准厂房区域基础设施现状及发展潜力 国内外标准化厂房发展现状 智算产业园区功能布局规划 妇幼保健院项目背景与意义 妇幼保健院经济效益分析 吊装设备的选择与配置 妇幼保健院项目投资分析 集成电路产业园污水处理厂项目的市场前景与发展趋势 新课标背景下小学英语作业的重要性 妇幼保健院医疗质量管理体系 销售部外部市场变化对薪酬体系的影响 产教融合基地产业发展趋势分析 妇幼保健院人员需求与组织结构 二手车行业现状 标准厂房钢结构材料的选择与性能 城中村改造项目区域选择与现状分析
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.