废弃阶段的风险评估

news2024/12/24 8:34:36

概述

风险评估应贯穿于评估对象生命周期
各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法昆一致的,但由干各阶段实施内容对象、安全需求不同.使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性
,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。## 规划阶段的风险评估
规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。
规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用.包括技术、管理等方面.并根据其作用确定评估对象建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求等方面进行分析。评估着重在以下几方面∶
a) 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;
b) 是否依据业务建立与之相契合的安全策略.并得到最高安全管理
者的认可c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;
d) 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;
e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
f) 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全策略、专门技术和知识等。规划阶段的评估结果应体现在评估对象整体规划或项目建议书中。

设计阶段的风险评估

设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断∶作为实施过程风险控制的依据。
本阶段评估中;应详细评估设让方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产及其安全功能形成需求列表。对设计方案的评估着重在以下几方面;
a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可;
b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威胁,以及由于内、外部入侵等造成的威胁;
c) 设计方案中的安全需求是否符合规划阶段的安全目标;并基于威胁的分析,制定评估对象的总体安全策略;
d) 设计方案是否采取了一定的手段来应对可能的故障;
e) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估.包括设计过程中的管理脆弱性和技术平台固有的脆弱性;
f)设计方案是否考虑随着其他系统接入而可能产生的风险;
g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的方法∶
h) 应用系统(含数据库)是否根据业务需要进行了安全设计;
i) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;
j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中。

实施阶段的风险评估

实施阶段风险评估的目的是根据安全需求和运行环境对系统开发,实施过程进行风险识别,并对建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施。在实施及验收时进行质量控制。
基于设计阶段的资产列表、安全措施.实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度;从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产
品获取过程的评估要点包括∶
a) 法律、政策、适用标准和指导方针;直接或间接影响评估对象安全需求的特定法律;影响评估对
象安全需求、产品选择的政府政策、国际或国家标准;
b) 评估对象的功能需要∶安全需求是否有效地支持系统的功能;
c) 成本效益风险;是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政
策、标准和功能需要的前提下选择最合适的安全措施;
d) 评估保证级别∶是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、
实施规范的要求。

交付阶段的风险评估

系统交付实施过程的评估要点包括;
a) 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
b) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;
c) 评估是否建立了与整体安全策略一致的组织管理制度;
d) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行评估对象安全策略的设计与调整。
本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、分析。

运行阶段的风险评估

运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估评估内容包括对真实运行的资产、威胁、脆弱性等各方面。
a) 资产评估∶包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估∶系统组件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过
程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。
b) 威胁评估∶应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。
c) 脆弱性评估∶是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备,管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估∶应包括安全功能的实现情况和安全保障设备本身的脆弱性;
管理脆弱性评估可以采取文档、记录核查等方式进行验证。
d) 风险计算∶根据本文件的相关方法,对风险进行定性或定量的风险分析.描述不同业务、系统资产的风险高低状况。
运行维护阶段的风险评估应定期执行∶当组织的业务流程、系统状况发生重大变更时,也应进行风险评估,重大变更包括以下情况(但不限于)∶
a)增加新的应用或应用发生较大变更∶
b)网络结构和连接状况发生较大变更∶
c) 技术平台大规模的更新;
d) 系统扩容或改造∶
e) 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
f) 组织结构发生重大变动对系统产生了影响。

废弃阶段的风险评估

废弃阶段风险评估着重在以下几方面∶
a) 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢弃或更换;
b) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还需考虑系
统废弃后与其他系统的连接是否被关闭;
c) 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估.以确定是否会增加风
险或引入新的风险;
d) 是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由于系统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育,评估对象的维护技术人员和管理人员均应参
与此阶段的评估。

风险评估具体操作流程

在这里插入图片描述

参考链接

GB-T 20984-2022 信息安全技术 信息安全风险评估方法
GB-T 20272-2019 信息安全技术 操作系统安全技术要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/66184.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

线程安全介绍

线程安全 多线程程序处于一个多变的环境当中,可访问的全局变量和堆数据随时都可能被其他的线程改变。因此多线程程序在并发时数据的一致性变得非常重要。 竞争和原子操作 多个线程同时访问一个共享数据,可能造成很恶劣的后果。下面是一个著名的例子&a…

多数之和问题

文章目录多数求和问题1两数之和(无序)题解2两数之和(有序)题解3两数之和(二叉搜索树)题解4 三数之和题解5四数之和题解多数求和问题 针对给一组用例,和一个目标数target,求用例中多数相加等于target的所有数,且不能重复问题,一般有两种解法: 集合(不要求排序)双指针(要求排序…

万德L2接口代码执行工作的过程分享

在设计万德L2接口时,避免不了要用到 一些代码,今天小编来给各位分享一下万德L2接口代码执行工作的过程分享: 这里只分享部分功能执行的过程: OrderQueueRecord(委托队列) 字段名 类型 备注 stock_ex…

word文档

WORD行与行中间空出一行,怎么办? 这个情况又分两种情况: 第①种情况:行与行之间的空白行都多了一个回车符: Word中,当我们从网络上复制一些文本或者是拿到一些别人的文本,这种文本经常会有大…

自动切换背景的登录页面

自动切换背景的登录页面 有趣的小案例池子: JS实现定时器 JS实现关闭图片窗口 JS实现输入检验 获取焦点后隐藏提示内容的输入框 JS实现获取鼠标在画布中的位置 聊天信息框显示消息 JS点击切换背景图 自动切换背景的登录页面 JS制作跟随鼠标移动的图片 JS实现记…

电脑提示ISDone.dll错误怎么办?

在安装一些大型游戏时,容易出现ISDone.dll错误,那么这时我们该怎么办呢? 出现ISDone.dll错误的原因? ① RAM或硬盘空间不足,或内存和硬盘出现故障。 ② ISDone.dll和Unarc.dll文件损坏或丢失。 ③ 系统文件损坏。 …

JAVA基于局域网的聊天室系统(源代码+论文)

毕业论文 局域网聊天室系统的设计与实现 论文作者姓名:申请学位专业:申请学位类别:指导教师姓名(职称):论文提交日期: 基于局域网的视频聊天室系统的设计与实现 摘 要 视频聊天系统作为一种…

Python 采集77个教学课件PPT模板

源码下载链接:ppt.rar - 蓝奏云 PPT下载链接:https://pan.baidu.com/s/1oOIO76xhSw283aHTDhBcPg?pwddydk 提取码:dydk 采集的参数 page_count 1 # 每个栏目开始业务content"text/html; charsetgb2312"base_url "https:…

6个赚钱法则,后悔知道晚了,赚钱是为了需要时说可以而不是考虑下

2023年也在措不及防的时刻开始了 无论哪年新年愿望清单里赚钱一直都在前三位。 《财富的理想国》中说,钱不是人生的全部,甚至不能保证你一定能过上幸福的生活,但一定的金钱,能为幸福生活打造坚实的基础。 2023全新的一年&#x…

10月阿里面试总结:必问的Spring面试解析,面试时要注意的那些坑

什么是Spring IOC 容器? 控制反转即IoC (Inversion of Control),它把传统上由程序代码直接操控的对象的调用权交给容器,通过容器来实现对象组件的装配和管理。所谓的“控制反转”概念就是对组件对象控制权的转移,从程序代码本身转…

基于非局部滤波图像去噪方法

论文题目:A non-local algorithm for image denoising 1 摘要 我们提出了一种新的衡量噪声的方法,来评价和比较数字图像去噪方法的性能。我们首先计算和分析该方法的噪声类去噪算法,即局部平滑滤波器。其次,我们提出了一种新的算…

jar添加jre运行环境,即是电脑没有安装jdk也可以运行

目录 一、项目打包 二、生成jre文件 1、jdk8及一下版本 2、jdk9及其以上版本 三、添加jre运行环境 四、编写脚本 1、编写启动脚本start.bat 2、编写停止脚本stop.bat 注:查看jdk安装位置​ 一、项目打包 以idea工具,springboot项目为例&#xff0…

HikariCP实战 | 通过查看源码分析如何解决maxLifeTime配置问题

目录1、追本溯源2、解决hikariCP的maxLifetime配置出现以下warn问题3、具体解决步骤(查看源码)1、追本溯源 很多年前在stackoverflow上写过一篇文章: https://stackoverflow.com/questions/28180562/hikaricp-and-maxlifetime# hikariCP是非…

maven升级漏洞依赖jar包

最近在搞一些漏洞jar包升级,包括springboot、cloud等依赖,期间遇到了一些小坑,特此做这个记录一下。 目录1. 打印/获取该项目的依赖树2.判断依赖是否有漏洞3.版本兼容性查询4.常规依赖版本升级5.依赖升级5.1 jackson升级5.2 spring相关依赖、…

机器学习与深度学习的基本概念

目录 机器学习是什么? 机器学习的任务 回归Regression 分类Classification 创造学习Structed Learing 机器学习怎么找这个函数 定义含未知参数的函数 定义loss损失函数 定义优化器optimization 写出一个更复杂的有未知参数的函数 sigmoid 基本推理过程 si…

GitHub上架即下架!《分布式系统人人都是架构师》全彩笔记开源

小编又来给大家分享好书了:高翔龙老师的 《超大流量分布式系统架构解决方案:人人都是架构师2.0》,我在网上没找见开源的PDF版本所以分享一下!小编会在文末附电子版免费下载方式。 高翔龙是谁? 云集基础架构负责人&am…

实战演练 | 使用 Navicat 在 MySQL 中存储图像

近年来,Web应用程序中的图像数量一直在稳定增长。还需要在不同尺寸的图像之间进行区分,例如缩略图,网络显示图像等。例如,我最近开发的一个应用程序显示新闻项目,其中每个项目都有缩略图和主要文章图像。另一个应用程序…

Tableau表格取消合并单元格

客户回访(Client Review) 文章目录前言一、原表格样式二、回访收集到的述求三、表格合并单元格方法(一)创建“序号”计算字段(二)将“序号”计算字段改为维度(三)将“序号”计算字段…

PMP项目管理中的重要角色

PMP及PMBOK有个大问题,就是没有统一的角色职责及流程,考试也是随意性很强,这给考生带来很多困扰。 一个管理体系,首先是人员分工安排。比如:PRINCE2,明确的组织结构,详细的流程活动&#xff0c…

用代码画两棵圣诞树送给你【附详细代码】

大家好,我是宁一 代码的魔力之处在于,可以帮我们实现许多奇奇怪怪、有趣的想法。 比如,用Python的Turtle库,可以帮我们在电脑上画出好看的图像。 下面这张樱花图就是用Turtle库实现的。 这不圣诞节快到啦。 那么就用代码来画一…