<tt id="8hexo"></tt> 信息安全事件不可能完全避免,所以保障企業信息安全必須從風險管理的角度出發,控制、緩解和規避風險, 在信息安全和業務發展間找到平衡點。
當前信息系統的安全狀況如何?當前信息系統的安全威脅有哪些?安全風險可能導致的損失是多少?在現有有限的安全投資如何抓住重點,是絕大多數企業都會面臨的困擾。
信息安全風險評估是信息安全工作的重要工作環節,是信息安全保障體系建立過程中重要的評價方法和決策機制。隨著信息安全形勢日益嚴峻,以及國家有關信息安全的法律法規陸續出臺,對信息安全工作的要求也越來越嚴格。信息安全風險評估,是了解、掌握信息系統安全現狀,明確信息系統安全需求,貫徹落實各項信息安全管理制度、滿足國家監管要求的重要手段。
1、IT系統及安全建設規劃
2、系統發生重大變更
3、發生重大安全事件
4、法律法規合規性要求
1、GB/Z 24364-2009《信息安全技術 信息安全風險管理指南》
2、GB/T 20984-2007《 信息安全技術 信息安全風險評估規范》
3、GB/T 18336-2008《信息技術 安全技術 信息技術安全性評估準則》
4、ISO/IEC 27005:2008《信息技術–安全技術–信息安全風險管理》
5、NIST SP800-30《IT系統風險管理指南》
1、全面了解組織或系統的安全現狀;
2、全面掌握系統面臨的安全威脅和存在的脆弱性;
3、科學評價系統面臨的各類風險評價;
4、確定組織或系統的安全需求;
5、為制定安全管理、技術措施提供依據;
6、制定落實防范措施及時有效抵御安全風險;
7、落實各種法律法規監管要求。
