信息安全風(fēng)險評估的基本概念

1. 風(fēng)險評估：指在風(fēng)險事件發(fā)生之前或之后（但還沒有結(jié)束），對該事件給人們的生活、生命和財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。即風(fēng)險評估就是量化測評某一事件或事物帶來的影響和損失。

2. 從信息安全的角度來講，風(fēng)險評估是對信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨對的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風(fēng)險的可能性評估。

3. 風(fēng)險評估過程中需要考慮幾個問題：

1）要確定保護的對象（或者資產(chǎn)）是什么？它的直接價值和間接價值如何？

2）資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題是什么？威脅發(fā)生的可能性有多大？

3）資產(chǎn)中存在哪些弱點可能會被威脅或利用？利用的容易程度又如何？

4）一旦發(fā)生威脅事件，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

5）組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降到低程度？

解決以上問題的過程，就是風(fēng)險評估的過程。

4. 在進行風(fēng)險評估時，需要考慮幾個對應(yīng)關(guān)系：

1）每項資產(chǎn)可能面臨多種威脅。

2）威脅源（威脅代理）可能不止一個。

3）每種威脅可能利用一個或多個弱點。

二、信息安全風(fēng)險評估工作概述

1. 幾種比較典型的標準

1）CC標準

3）ISO/IEC 21827：2002（SSE-CMM）

2. 風(fēng)險評估的原則

1）小影響原則：風(fēng)險評估過程中應(yīng)該盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)網(wǎng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。

2）可控性原則：風(fēng)險評估的方法和過程要在雙方認可的范圍之內(nèi)，風(fēng)險評估的進度要按照進度表進度的安排，保證被評估方對于風(fēng)險評估的控性。

3）整體性原則：風(fēng)險評估內(nèi)容應(yīng)當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患。

4）標準性原則：風(fēng)險評估實施方案的設(shè)計和實施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標準進行。

5）規(guī)范性原則：風(fēng)險評估工作中的過程和文檔要具有很好的規(guī)范性，以便于項目的跟蹤和控制。

6）保密原則：應(yīng)對風(fēng)險評估的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害被評估方的行為。

3. 風(fēng)險評估的相關(guān)術(shù)語

1）資產(chǎn)：任何對組織有價值的事件。

2）可用性：需要時，授權(quán)實體可以訪問和使用的特性。

3）保密性：信息不可用或不被泄露給未授權(quán)的個人、實體和過程的特性。

4）信息安全：保護信息的保密性、完整性、可用性及其他屬性，如真實性、可核查性、可靠性和防抵賴性。

5）信息安全事件：指識別出發(fā)生的系統(tǒng)、服務(wù)或者網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護措施失效，或以前未知的與安全相關(guān)的情況。

6）信息安全事故：指一個或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運營遭橫嚴重影響或威脅信息安全。

7）信息安全管理體系：指一個或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運營造成嚴重影響或威脅信息安全。

8）完整性：保護資產(chǎn)的正確和完整的特性。

9）殘余風(fēng)險：實施風(fēng)險處置之后仍舊殘留的風(fēng)險。

10）風(fēng)險接受：接受風(fēng)險的決策。

11）風(fēng)險分析：系統(tǒng)地使用信息以識別來源和估計風(fēng)險。

12）風(fēng)險評估：風(fēng)險分析和風(fēng)險評價的全過程。

13）風(fēng)險評價：將估計的風(fēng)險與既定的風(fēng)險準則進行對比，以確定重要風(fēng)險的過程。

14）風(fēng)險管理：指導(dǎo)和控制一個組織的風(fēng)險協(xié)調(diào)的活動。

15）風(fēng)險處置：選擇和實施措施以改變風(fēng)險的過程。

16）適用性聲明：與組織ISMS相關(guān)并適用于組織ISMS的控制目標和控制措施的文件化陳述。

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、4川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆

WX:一三三+++++4二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測試、電子產(chǎn)品檢測、安防產(chǎn)品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統(tǒng)第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷次檢測）、通信網(wǎng)防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統(tǒng)軟件測試、數(shù)字社區(qū)應(yīng)用軟件測評、 建設(shè)領(lǐng)域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計、施工、維修資格備案證業(yè)績檢測（安防工程檢測）、信息化項目技術(shù)績效評估(網(wǎng)站或系統(tǒng)績效評估）、政務(wù)信息化項目效能評估、信息系統(tǒng)安全等級保護備案證明、信息系統(tǒng)安全等保報告、網(wǎng)絡(luò)安全等保測評、信息系統(tǒng)安全等保測評、數(shù)字新基建項目第三方測試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營許可（即原來的：民用無人駕駛航空器經(jīng)營許可、道路運輸經(jīng)營許可、AOPA無人機多旋翼駕駛員培訓(xùn)、無人機研發(fā)生產(chǎn)銷售、無人機合作辦學(xué)、無人機實訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評估CS、信息系統(tǒng)服務(wù)交付能力評估CCID、計算機信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術(shù)防范系統(tǒng)設(shè)計、施工與維修證、廣東省有線廣播電視工程設(shè)計（安裝）證、廣東省防雷工程企業(yè)能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評估模型DCMM、信息技術(shù)服務(wù)運行維護標準ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎申請、合作申請（即掛名）、高新技術(shù)企業(yè)認證、雙軟認定、動漫企業(yè)認定、技術(shù)合同登記、知識產(chǎn)權(quán)服務(wù)、加急、集成電路布圖專有權(quán)登記、計算機軟件著作權(quán)登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創(chuàng)業(yè)補助申請等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518