风险评估运用科学的方法和手段评估信息安全的管理方法。这一管理方法主要通过系统地分析计算机网络与信息系统面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能会造成的危害程度,提出针对性的抵御威胁的防护对策和整顿措施,防范和化解信息安全风险,或将风险控制在可接受的水平。
信息安全风险评估涉及七个主要要素:资产、威胁、脆弱点、风险、影响、安全措施、安全需求。评估形式主要包括自评估和检查评估两种形式。评估流程大体分为准备阶段、风险识别阶段、风险评价阶段和风险处理阶段。信息安全风险评估的目的是分析信息安全环境,全面准确地了解组织机构的信息安全现状,发现系统的安全问题,分析信息系统的安全需求,制定出适合系统具体情况的安全策略,提高信息安全性。
以信息安全管理体系规范性文件为依据的认证活动。如果组织的信息安全管理体系被认证,表明组织从其整体业务风险的角度选择了适当和适宜的信息安全控制措施,以充分保护其信息资产的保密性、完整性和可用性,该组织有能力在证书确定的范围内通过信息安全管理体系使得其信息安全管理满足相关法律法规的要求、顾客要求以及其他商定的要求。
对委托单位及其信息系统的安全技术架构能力成熟度级、安全管理能力成熟度级和安全工程能力成熟度级进行符合性评估的活动。信息安全评测分别从安全技术保障、安全管理保障、安全工程保障三个方面进行测评和分析,判断委托单位的信息系统是否符合安全保障能力级的要求。如果符合要求,将颁发信息系统安全保障能力级证书。随着国际CC互认协定的推广以及中国信息安全需要的发展,原本信息安全类产品自愿性的、非强制性的认证将逐步转为强制性认证。
更多内容您可前往信创致远http://www.dengbao110.com/查看。