风险评估策划方案介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 总体概述
1.1 项目概述
为了更好的了解信息安全状况,依照《信息安全风险评估指南》和GB/T 20984-2007》要求,总体评估公司信息化建设风险。
2.风险评估方案
2.1风险评估现场实施流程
风险评估的实施流程见下图所示
2.2 风险评估使用工具
测评过程中所使用的工具见下表所示:
2.3 风险评估方法
2.3.1资产识不
2.3.1.1资产分类
首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。依照资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。
一种基于表现形式的资产分类方法
2.3.1.2资产赋值
2.3.1.2.1保密性赋值
依照资产在保密性上的不同要求,将其分为五个不同的等级,分不对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的阻碍。
资产机密性赋值表
2.3.1.2.2完整性赋值
依照资产在完整性上的不同要求,将其分为五个不同的等
级,分不对应资产在完整性上缺失时对整个组织的阻碍。
资产完整性赋值表
2.3.1.2.3可用性赋值
依照资产在可用性上的不同要求,将其分为五个不同的等级,分不对应资产在可用性上应达成的不同程度。
资产可用性赋值表