admin管理员组文章数量:1530987
2024年5月5日发(作者:)
网络信息安全风险评估实施方法
1 评估准备
1.1 第1步:成立评估工作组
在一个评估工作下达后,需要组织人员来实施评估工作的内容。评估工作组
通常包括如下两方面的人员:
评估人员:外部专业评估机构的人员,或由内部专业人员组成的评估队伍。
系统管理人员:待评系统的运维管理人员。
以上两部份人员形成一个完整的评估项目组,根据项目组成员的职能,项目
组包括如下角色:
表5.1 评估工作组人员角色安排
角色
评估项目负责人
现场评估
工程师
审计工程师
咨询顾问
文档工程师
人工评估
工具检测
人员访谈
数据分析、整理
风险处置、方案建议
文档编制、维护
职责
负责总体协调、项目管理
评估人员
*
*
*
*
*
*
*
系统管理人员
*
*
*
*
1.2 第2步:确定评估范围
评估范围界定是对待评系统资产的抽样。在成立了评估工作组后,评估范围
可通过评估组的工作会议进行确定。
确定的评估范围应能代表待评估系统的所有关键资产,包括:网络范围、主
机范围、应用系统范围、制度与管理范围。
评估范围确定后,待评系统管理人员需要根据选定的内容进行资料的准备工
作,包括:网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设
置说明等内容。本实施指南的附件《信息安全风险评估资料准备说明》中给出了
评估前需要准备的清单。
1.3 第3步:评估动员会议
安全评估工作是一个挑毛病、找问题的过程,一般情况下带评估系统的管理
和运行维护人员都会有一定的抵触情绪,因此,需要通过评估动员让所有工作人
员明白评估的目的和意义。评估动员会议应由较高层的领导出席,并表明对评估
工作的支持态度。
评估动员会议要完成以下的议题:评估的时间和人员安排、评估工作中的风
险防范措施。
1.4 第4步:信息系统调研
为了确保评估工作的全面性、提高评估工作的效率,在评估实施前,组织评
估工作组成员对确定的实施范围进行走访。通过前期快速的调研,评估工作组可
以基本掌握评估范围内信息系统和人员的实际情况,并与配合人员进行初步的沟
通,确定评估实施中必须具备的技术工具和手段,以及基本的时间安排和必要的
工作准备。
1.5 第5步:评估工具准备
评估工作组根据收到的评估资料,进行评估工具的准备,这包括威胁列表、
网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。
评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制,例如:
威胁列表需要根据信息系统实际的物理、网络环境来进行定制;安全管理访谈表
需要根据待评估系统的管理结构、管理方式进行定制。
在评估工具中,网络、主机脆弱性评估的通用性较强,目前可找到的商用和
免费工具较多。下表是目前常用的脆弱性评估工具列表:
版权声明:本文标题:网络信息安全风险评估实施方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1714919489a425617.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论