信息系统风险评估(三).pdfVIP

  1. 1、本文档共2页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
■妒方案 在信息系统风险评估系列文章的前两期中,提出了总体概念和量化风险分 析的方法.本期将根据实际经验向大家介绍可操作的定性风险评估方法。 信息系统风险评估(三) 魏忠 叶铭 一个完整的风险评估方案包括风险识别 调查主要分为两部分人员调查与技术调查。 风险分析风险管理三部分内容对于一个特定 1 人员调查 的企业明确需要保护的重点资产.以及了解企 ·目的 业信息系统的脆弱性将是明确进行风险分析的重 点。由于直接对信息系统环境定量分析的困难 面)调查了解有关内部最重视的信息资产、最担心发生的事故以及对重要资产 性此方法采用了间接通过对脆弱性与企业自身 进行安全保护的需求. 安全需求的风险分析避免了许多概念方面的分 b)内部安仝控制策略实施的情况与组织内部存在的问题。 析方法.具有良好的可操作性。 ·调查手段 采用问卷.访谈.会议的形式获取相关的数据最终获取目前信息管理的规 章制度以及实施情况的客观依据。 ·可以参考的标准 对于策略的调查7799标准、现有的管理制度。 ·标准的使用 标准用于对安全控制策略实施情况的评估,以7799标准作为主要的管理标准 的框架对现有标准从体系与内容完整性进行完善.以此为基准设计管理措施相 关的调查表格。 2技术调查 采用技术的手段对信息系统进行分析.对当前信息系统中技术方面存在的问 题进行识别此项工作由专业的技术人员进行。技术性调查的目的是为了对最终 的决策提供直接的技术方面的证据.因此不盛追求非常高的精度,对于类似的设 备只需要进行抽查。按照系统层次性分析的方式对系统的以下内容进行调查 a)网络架构:绘制出信息系统网络拓扑结构.标明网络薄弱点.目前网络 上虚网划分与使用的情况:明确网络边界《包括各系统设置的拨号接人服务器)。 对网络的可靠性和安全性做出评价.对业务系统给出安全等级建议(通过评估确 认目前达到的安全等级)。 评估由企业内部负责信息系统高层领导牵 b)业务流程主要业务系统之间的数据流量以及峰值流量出现时间.准确 头组织企业内部技术团队或第三方专业公司进 的获得目前的主要业务系统的数据流向,业务的实现方式.业务安全要求。总结 行。评估主要包括四个阶段: 业务的功能体系.对每个功能进行描述.即形成业务流程现状图.指出各业务流 第一阶段准备阶段 程现状中存在的问题.结合各问题的解决方案.提出业务流程优化思路。 就评估所需要开展的工作进行商讨 明确 c)主机系统:主机系统的漏洞(操作系统固有的漏洞与配置的问题)系统 任务的内容明确项目小组成员及其职责分 服务C明确不需要的系统服务】.帐号的安全情况.采用的访问控制策略;日志 工制定并批准实施计划。 审计情况。 d)数

文档评论(0)

189****0315 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档