风险评估具体操作流程

news2024/11/14 20:07:28

概述

风险评估应贯穿于评估对象生命周期
各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法昆一致的,但由干各阶段实施内容对象、安全需求不同.使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性
,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。## 规划阶段的风险评估
规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。
规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用.包括技术、管理等方面.并根据其作用确定评估对象建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求等方面进行分析。评估着重在以下几方面∶
a) 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;
b) 是否依据业务建立与之相契合的安全策略.并得到最高安全管理
者的认可c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;
d) 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;
e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
f) 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全策略、专门技术和知识等。规划阶段的评估结果应体现在评估对象整体规划或项目建议书中。

设计阶段的风险评估

设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断∶作为实施过程风险控制的依据。
本阶段评估中;应详细评估设让方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产及其安全功能形成需求列表。对设计方案的评估着重在以下几方面;
a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可;
b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威胁,以及由于内、外部入侵等造成的威胁;
c) 设计方案中的安全需求是否符合规划阶段的安全目标;并基于威胁的分析,制定评估对象的总体安全策略;
d) 设计方案是否采取了一定的手段来应对可能的故障;
e) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估.包括设计过程中的管理脆弱性和技术平台固有的脆弱性;
f)设计方案是否考虑随着其他系统接入而可能产生的风险;
g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的方法∶
h) 应用系统(含数据库)是否根据业务需要进行了安全设计;
i) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;
j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中。

实施阶段的风险评估

实施阶段风险评估的目的是根据安全需求和运行环境对系统开发,实施过程进行风险识别,并对建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施。在实施及验收时进行质量控制。
基于设计阶段的资产列表、安全措施.实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度;从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产
品获取过程的评估要点包括∶
a) 法律、政策、适用标准和指导方针;直接或间接影响评估对象安全需求的特定法律;影响评估对
象安全需求、产品选择的政府政策、国际或国家标准;
b) 评估对象的功能需要∶安全需求是否有效地支持系统的功能;
c) 成本效益风险;是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政
策、标准和功能需要的前提下选择最合适的安全措施;
d) 评估保证级别∶是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、
实施规范的要求。

交付阶段的风险评估

系统交付实施过程的评估要点包括;
a) 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
b) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;
c) 评估是否建立了与整体安全策略一致的组织管理制度;
d) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行评估对象安全策略的设计与调整。
本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、分析。

运行阶段的风险评估

运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估评估内容包括对真实运行的资产、威胁、脆弱性等各方面。
a) 资产评估∶包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估∶系统组件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过
程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。
b) 威胁评估∶应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。
c) 脆弱性评估∶是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备,管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估∶应包括安全功能的实现情况和安全保障设备本身的脆弱性;
管理脆弱性评估可以采取文档、记录核查等方式进行验证。
d) 风险计算∶根据本文件的相关方法,对风险进行定性或定量的风险分析.描述不同业务、系统资产的风险高低状况。
运行维护阶段的风险评估应定期执行∶当组织的业务流程、系统状况发生重大变更时,也应进行风险评估,重大变更包括以下情况(但不限于)∶
a)增加新的应用或应用发生较大变更∶
b)网络结构和连接状况发生较大变更∶
c) 技术平台大规模的更新;
d) 系统扩容或改造∶
e) 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
f) 组织结构发生重大变动对系统产生了影响。

废弃阶段的风险评估

废弃阶段风险评估着重在以下几方面∶
a) 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢弃或更换;
b) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还需考虑系
统废弃后与其他系统的连接是否被关闭;
c) 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估.以确定是否会增加风
险或引入新的风险;
d) 是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由于系统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育,评估对象的维护技术人员和管理人员均应参
与此阶段的评估。

风险评估具体操作流程

在这里插入图片描述

参考链接

GB-T 20984-2022 信息安全技术 信息安全风险评估方法
GB-T 20272-2019 信息安全技术 操作系统安全技术要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/67506.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

摄影师接单小程序开发,自由交易平台

在网红直播经济的强势发展下,年轻一代对于摄影方面的需求急速增长,但是年轻人群体在摄影方面的要求更趋向于个性化,普通的影楼不仅拍摄价格高,在拍摄风格上也比较单调,缺乏创新,难以满足用户消费需求。对于…

cubeIDE开发, stm32的ADC(模数转换器) 开发要点

一、ADC模数转换简介 ADC(Analog-to-Digital Converter,模数转换器) 是将连续变化的模拟信号转换为离散的数字信号的器件。真实世界的模拟信号,例如温度、压力、声音或者图像等,需要转换成更容易储存、处理和发射的数字形式。模数转换器可以实…

cesium切片底图正常出来但控制台一直报错的方法

1、部署ngnix服务 2、修改ngnix配置 在location 下的路径配置如下内容 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods GET, POST, OPTIONS; add_header Access-Control-Allow-Headers DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Re…

程序员需知的8个视频教程网站,建议收藏

上一篇介绍的是在线教程网站以文字性内容为主,同样收藏了一些以视频为主的一些网站,相比较而言,更容易上手,当然,也更加耗时间。 1、B站 简 介:没错,bilibili也可以用来学习,除了番…

吉林优美姿文化:抖音小店店铺评分怎么提升?

现在大家都在抖音平台上购物,只用等商家发货就行了,但是抖音发货也是有一定相关规定的,也需要各位商家去遵守的,那么抖音的发货时效方面有着什么样的规定呢?跟着吉林优美姿小编来看一下吧!发货时间&#xf…

TPE-3-CHO;CAS:2351847-81-7;AIE聚集诱导发光

中文名 4,4,4,4-(乙烯-1,1,2,2-四基)四(([1,1-联苯]-3-甲醛)) 英文名 4,4,4,4-(Ethene-1,1,2,2-tetrayl)tetrakis(([1,1-biphenyl]-3-carbaldehyde)) 中文别名 四(3-甲醛基联苯基)乙烯 | 4,4,4,4-(乙烯-1,1,2,2-四基)四(([[1,1-联苯] -3 -甲醛)) 物理化学性质 密度 1.2200.06 g…

spring的BeanPostProcessor分析

spring常见的set注入,就是通过配置文件给变量赋值,这属于第一步注入。BeanPostProcessor还能进行第二次注入,简单来说就是第二是给变量赋值 1、首先定义一个实体类EntityObject,声明get和set方法 package beanPost;public class…

C语言---函数---总结

🚀write in front🚀 📝个人主页:认真写博客的夏目浅石. 🎁欢迎各位→点赞👍 收藏⭐️ 留言📝​ 📣系列专栏:鹏哥带我学c带我飞 💬总结:希望你看…

一文了解Linux内核网络设备驱动

1. 接收数据包过程概述 介绍数据包收包过程,有助于我们了解Linux内核网络设备在数据收包过程中的位置,下面从宏观的角度介绍数据包从被网卡接收到进入 socket 接收队列的整个过程: 加载网卡驱动,初始化数据包从外部网络进入网卡…

月子会所管理系统| 月子会所小程序| 数字化门店转型

随着二孩三孩政策的相继开放,中国母婴市场呈现出稳定增长的局面,据相关数据显示,2019年中国母婴市场规模达34950亿元,预计2024年将增长到70000亿元。母婴行业的细分类高,同时还可与多行业进行对接。 母婴月子会所近些年…

Vue3 事件处理

Vue3 事件处理1.基本使用2.事件修饰符3.按键修饰符1.基本使用 我们可以使用 v-on 指令来监听 DOM 事件,从而执行 JavaScript 代码。 v-on 指令可以缩写为 符号。 语法格式: v-on:click"methodName" 或 click"methodName"一个最…

基于jsp+ssm的驾校预约管理系统-计算机毕业设计

项目介绍 驾校预约管理系统是一个高校用来管理教员和学员的授课信息并存储档案必需的一个管理系统,由于时代的进步,它成为了一个现代化管理不可缺少的一部分。它的查询的方便简洁,可以为一个驾校经营者节约足够的时间,为驾校迅速…

QWebEngine集成Netron可视化模型

Netron是一个用于可视化深度学习网络模型的工具软件,主体以JavaScript语言实现,源码在: https://github.com/lutzroeder/netron 。用户可以使用各系统平台的安装包进行安装之后使用,也可以用浏览器使用在线版本: Netron。 Netron支持几乎所有…

ChatGPT 和 Midjourney 将改变我们的生活,日常工作流程将完全改变并与这些新型工具集成

上周末我花了很多时间先玩 Open AI ChatGPT,然后玩 Midjourney。起初我笑了,然后我开始完全被各种可能性所困扰,然后我终于意识到了它的潜力,并开始将其用于更有成效的工作。 注意:我本可以用它来制作一个引人入胜的点击诱饵标题,但我没有. 这是我问 Open AI 聊天的第一…

在python中调用ChatGPT,并使用tkinter打包成exe

在python中调用ChatGpt一、前提1. 安装库2. 获取key3. 调用示例二、tkinter桌面应用网页使用与python使用的对比用它来搜题你将会知道什么叫爽一、前提 小伙伴们都知道,最近这两天ChatGpt最近很火爆,更重要的是他对中文的兼容性很好,比如我问…

以“社交和品质”打通长线运营,UTONMOS打造真正的Web3.0链游破圈之作

元宇宙(Metaverse),这个来源于科幻小说的概念已成为真实世界中的流行语。在大众对元宇宙的构想中," 游戏 " 是优先级最高的落地场景之一。《头号玩家》《赛博朋克 2077》等作品中," 游戏 " 也多次…

【20221206】【每日一题】01背包的基础

思路: 二维数组 动规五部曲 1、确定dp数组以及下标含义:二维数组dp[i][j]表示从下标为0-i的物品里任意取,放入容量为j的背包,价值总和最大为多少; 2、确定递推关系式:从两个方向推dp[i][j],没…

CSS 之 渐变色边框

一、渐变色边框 如果我们前端最亲爱的UI设计师,让我们给盒子绘制一个渐变色的边框,而且盒子的宽高还需要随着内容变化而变化,那我们就不能通过切图来解决问题,所以我们可以这么说: 但是我相信优秀的你肯定不会说做不…

如何删除密码?知道密码和不知道密码的情况

压缩包设置了密码,就需要输入压缩包密码才能顺利解压文件。 有些时候我们加密了压缩包之后,过了一段时间可能就不需要再加密压缩包里的文件了。 有些时候我们加密了压缩包之后,长时间没有使用,又没有将密码记录在一个地方&#…

基于 LSTM 的分布式能源发电预测(Matlab代码实现)

💥💥💥💞💞💞欢迎来到本博客❤️❤️❤️💥💥💥 🎉作者研究:🏅🏅🏅主要研究方向是电力系统和智能算法、机器学…