信息安全风险评估指南 下载本文

广州海颐软件有限公司

信息安全风险评估指南

编号:ISMS-3002 编写:行政部 审核: 批准: 发布版次:第A/0版 生效日期 状态:受控 2009年12 月27 日 2009年12 月28 日 2009年12 月28 日 2009年12 月28 日 2009年12 月28 日 信息安全风险评估指南

变 更 记 录

变更日期 2010-01-21 版本 A/0 变更说明 初始版本 编写 行政部 审核 **** 批准 ****

第2页 共23页

信息安全风险评估指南

信息安全风险评估指南

1、 本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了

无锡新世纪信息科技有限公司的大力支持。

1.1政策法规:

? 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

? 《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)

1.2国际标准:

? ISO/IEC 17799:2005《信息安全管理实施指南》 ? ISO/IEC 27001:2005《信息安全管理体系要求》 ? ISO/IEC TR 13335《信息技术安全管理指南》

1.3国内标准:

? 《信息安全风险评估指南》(国信办综[2006]9号)

? 《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月) ? GB 17859—1999《计算机信息系统安全保护等级划分准则》 ? GB/T 18336 1-3:2001《信息技术安全性评估准则》 ? GB/T 5271.8--2001 《信息技术 词汇 第8部分: 安全》

? GB/T 19715.1—2005 《信息技术安全管理指南 第1部分:信息技术安全概念和模型》 ? GB/T 19716—2005 《信息安全管理实用规则》 1.4其它

? 《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))

2、 风险评估

2.1、风险评估要素关系模型

风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:

第3页 共23页