欧美黑人xxxx性高清版,国产96av在线播放视频,亚洲午夜成人精品无码app,国精品午夜福利视频2021

1．概述

風險管理是辨別出本公司潛在的風險，對其進行評估，并采取措施將其降低到可以接受的水平的過程， 而風險評估是其中最重要的環(huán)節(jié)。

2．目的

本規(guī)定旨在為本公司信息安全人員執(zhí)行周期性的信息安全風險評估提供標準，幫助其正確判斷出漏洞區(qū)域，并采取適當?shù)难a救措施。

3．范圍

本規(guī)定適用于本公司信息安全人員對本公司信息系統(tǒng)(包括應用程序，服務器，網(wǎng)絡及任何管理和維護這些系統(tǒng)的流程)所做的一切風險評估。

4．規(guī)定

4.1. 一般規(guī)定

  4.1.1. 每6個月對本公司重要的信息系統(tǒng)進行一次風險評估；

  4.1.2. 對重要的現(xiàn)在系統(tǒng)作了重大更改后或重要的新系統(tǒng)上線時必須進行風險評估；

  4.1.3. 被評估系統(tǒng)的開發(fā)人員和維護人員必須跟本公司信息安全人員密切合作，以準確評估該系統(tǒng)的漏洞，威脅，控制措施，開發(fā)出有效的補救措施；

  4.1.4. 風險評估結(jié)果必須以書面形式提交相關部門主管；

4.2. 風險評估流程

  4.2.1. 弄清系統(tǒng)情況

4.2.1.1.  收集系統(tǒng)信息的方法：

* 問卷：分發(fā)問卷給被評估系統(tǒng)的開發(fā)和維護人員；

* 面談：跟被評估系統(tǒng)的開發(fā)和維護人員面談；

* 查閱文檔：查閱被評估系統(tǒng)的系統(tǒng)方面和安全方面的文檔；

4.2.1.2. 需要收集的系統(tǒng)信息：

* 主要信息：硬件，軟件，系統(tǒng)接口，數(shù)據(jù)和信息，支持人員和用戶，系統(tǒng)的功能，系統(tǒng)和數(shù)據(jù)的關鍵性和敏感性；

* 額外信息：功能要求，用戶，安全制度，安全架構(gòu)，網(wǎng)絡結(jié)構(gòu)，信息存儲保護，信息流，技術控制，管理控制，操作控制，物理安全環(huán)境，

環(huán)境安全；

4.2.2. 找出系統(tǒng)面臨的威脅

4.2.2.1.  通過實地查看可以找出自然的和環(huán)境的威脅；

4.2.2.2.  通過查閱被評估系統(tǒng)的系統(tǒng)安全事故記錄，安全違反報告，意外事件報告，及跟系統(tǒng)維護人員和系統(tǒng)用戶面談可以收集到人為的威脅；

4.2.2.3.  找出系統(tǒng)面臨的自然的，人為的和環(huán)境的威脅，并整理出一個威脅陳述列表；

   4.2.3. 找出系統(tǒng)漏洞

4.2.3.1    通過查閱網(wǎng)上的漏洞列表，安全建議，廠商建議以了解當前流行的漏洞；

4.2.3.2    通過查閱被評估系統(tǒng)以前的風險評估報告，審計報告，系統(tǒng)異常報告及對其進行安全測試以收集被評估系統(tǒng)的漏洞；

4.2.3.3    整理出一個系統(tǒng)漏洞列表；

   4.2.4. 分析系統(tǒng)現(xiàn)有的控制措施

4.2.4.1    通過跟被評估系統(tǒng)的開發(fā)和維護人員面談，及登錄系統(tǒng)實地查看系統(tǒng)安全配置以收集系統(tǒng)的安全控制措施；

4.2.4.2    判斷現(xiàn)有的控制措施是否充分，如不充分，應該增加哪些補救措施；

4.2.4.3    將當前的控制措施和計劃增加的補救措施整理為一個控制措施列表；

   4.2.5. 判斷發(fā)生安全事故的可能性

4.2.5.1    安全事故可能性定義：

              * 高：威脅源很有能力而且決心很大，而控制措施卻不夠充分；

              * 中：威脅源有能力而且決心大，但控制措施能夠阻止對漏洞的成功利用；

              * 低：威脅源缺乏能力或決心，而控制措施卻很充分；

4.2.5.2    綜合考慮威脅源的動機和能力，漏洞的特征，現(xiàn)存控制措施的有效性，判斷出發(fā)生安全事故的可能性（高，中，低）

    4.2.6. 分析安全事故的影響

4.2.6.1    通過綜合分析被評估系統(tǒng)的任務，其本身及其數(shù)據(jù)的關鍵性和敏感性，判斷其發(fā)生安全事故對本公司的影響程度（高，中，低）

     4.2.7. 判斷風險大小

           4.2.7.1. 風險級別矩陣

                      風險等級: 高 ( >50 to 100); 中 ( >10 to 50);低 (1 to 10)

            4.2.7.2. 綜合考慮威脅發(fā)生可能性和影響程度判斷出風險等級(高，中，低) 

      4.2.8. 推薦補救措施

4.2.8.1.  考慮如下因素：

                   * 推薦措施的有效性；

                   * 是否符合本公司的系統(tǒng)和安全制度；

                   * 對系統(tǒng)運作的影響；

                   * 安全和可靠性；

      4.2.9. 書寫評估報告

4.2.9.1.  評估報告的內(nèi)容應：

                   * 描述威脅和漏洞；

                   * 衡量風險；

                   * 提供推薦的補救措施；

     更多ISO27001認證信息請關注潛龍咨詢。