風(fēng)險(xiǎn)評估是指����,在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給人們的生活���、生命�����、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評估的工作���。即,風(fēng)險(xiǎn)評估就是量化測評某一事件或事物帶來的影響或損失的可能程度���。
信息安全服務(wù)資質(zhì)是對信息系統(tǒng)安全服務(wù)的提供者的技術(shù)�、資源��、法律�、管理等方面的資質(zhì)和能力,以及其穩(wěn)定性����、可靠性進(jìn)行評估,并依據(jù)公開的標(biāo)準(zhǔn)和程序�,對其安全服務(wù)保障能力進(jìn)行認(rèn)證的過程��。
信息安全風(fēng)險(xiǎn)評估三級資質(zhì)
:資質(zhì)級別
信息安全服務(wù)資質(zhì)級別分為一級�����、二級、三級��,其中一級��,三級�。資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。
第二:認(rèn)證類別
1.安全集成服務(wù)資質(zhì)
2.安全運(yùn)維服務(wù)資質(zhì)
3.風(fēng)險(xiǎn)評估服務(wù)資質(zhì)
4.應(yīng)急服務(wù)資質(zhì)
5.軟件安全開發(fā)服務(wù)資質(zhì)
6.信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)
7.工業(yè)控制安全服務(wù)資質(zhì)
8.網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證
信息安全風(fēng)險(xiǎn)評估的概念涉及資產(chǎn)����、威脅、脆弱性和風(fēng)險(xiǎn)4個(gè)主要因素�。
根據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估方法》,風(fēng)險(xiǎn)評估基本要素包括資產(chǎn)�����、威脅�、脆弱性和安全措施并基于以上要素開展風(fēng)險(xiǎn)評估。
1.資產(chǎn)識別
資產(chǎn)識別是風(fēng)險(xiǎn)評估的核心環(huán)節(jié)��。資產(chǎn)按照層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)��、系統(tǒng)組件和單元資產(chǎn)����。因此資產(chǎn)識別應(yīng)從三個(gè)層次進(jìn)行識別。
2.威脅識別
威脅識別的內(nèi)容包括威脅的來源���、主體��、種類����、動(dòng)機(jī)����、時(shí)機(jī)和頻率
3.脆弱性識別
如果脆弱性沒有對應(yīng)的威脅,則無需實(shí)施控制措施,但應(yīng)注意并監(jiān)視他們是否發(fā)生變化�����。相反����,如果威脅沒有對應(yīng)的脆弱性,也不會(huì)導(dǎo)致風(fēng)險(xiǎn)�。應(yīng)注意,控制措施的不合理實(shí)施�、控制措施故障或控制措施的誤用本身也是脆弱性�����?刂拼胧┮蚱溥\(yùn)行的環(huán)境,可能有效或無效�����。脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行審視����。技術(shù)脆弱性涉及 IT 環(huán)境的物理層�����、網(wǎng)絡(luò)層��、系統(tǒng)層應(yīng)用層等各個(gè)層面的安全問題或隱患��。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面,前者與具體技術(shù)活動(dòng)相關(guān),后者與管理環(huán)境相關(guān)�����。
4.風(fēng)險(xiǎn)分析
組織應(yīng)在風(fēng)險(xiǎn)識別基礎(chǔ)上開展風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)分析應(yīng):根據(jù)威脅的能力和頻率,以及脆弱性被利用難易程度,計(jì)算安全事件發(fā)生的可能性;a)根據(jù)安全事件造成的影響程度和資產(chǎn)價(jià)值,計(jì)算安全事件發(fā)生后對評估對象造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失,計(jì)算系統(tǒng)資產(chǎn)面臨的風(fēng)險(xiǎn)值:d根據(jù)業(yè)務(wù)所涵蓋的系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)值綜合計(jì)算得出業(yè)務(wù)風(fēng)險(xiǎn)值��。
信息安全風(fēng)險(xiǎn)評估����,騰創(chuàng)實(shí)驗(yàn)室(廣州)有限公司(簡稱“騰創(chuàng)實(shí)驗(yàn)室”)依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦[2006]5號)�����、GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估方法》等標(biāo)準(zhǔn)規(guī)范��,進(jìn)行信息系統(tǒng)安全保障能力級的符合性測評�����。風(fēng)險(xiǎn)分析中要涉及資產(chǎn)����、威脅、脆弱性三個(gè)基本要素�����。每個(gè)要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn)價(jià)值�����;威脅的屬性可以是威脅主體�、影響對象、出現(xiàn)頻率��、動(dòng)機(jī)等��;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度����。
