信息安全风险评估资质

信息安全风险评估技术手段综述

王英梅1

（北京科技大学信息工程学院 北京 100101）

摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。

关键词：风险评估 综合风险评估 信息基础设施 工具 引言

当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（

信息安全风险评估技术手段综述

王英梅1

（北京科技大学信息工程学院 北京 100101）

摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。

关键词：风险评估 综合风险评估 信息基础设施 工具 引言

当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（

ＬＯＧＯ

密级：秘密

编 号：NN-PD17 ＸＸＸＸ网络安全技术有限公司 版 次：080501 程 序 文 件 生效日期：2008.05.01 信息安全风险评估管理程序 编制： 日期： 审核： 日期： 批准： 日期： 本版修改记录 修改状态 日期 修改原因及内容提要 修改人 审核人 批准人

第 1 页 共 11 页 信息安全风险评估管理程序

ＬＯＧＯ

信息安全工程学

信息安全工程学五、信息安全风险评估

信息安全工程学

信息安全风险评估

风险评估，是发掘信息保护需要的重要步骤 风险评估并非仅在发掘需要阶段进行，后续阶段

根据需要也会进行风险评估 例如在定义架构阶段的有效性评估中就需要对已 定义的架构进行风险评估，检查结构性漏洞

风险评估可以是对待建的信息系统的评估， 也可以是对已有的信息系统的评估。 对已有系统的评估是PDCA的第二次循环，或以

后的各次循环中进行的。 每次的PDCA循环，相当于一个新的信息安全工 程过程。

信息安全工程学

信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点

信息安全工程学

风险管理的概念

定义 风险管理是一个过程。通过这个过程，信息系

统管理者能够综合衡量安全措施和实施成本， 并通过为信息系统提供安全防护，促进组织的 业务能力提升。(NIST SP800-30)

包括三个过程 风险评估

风险消减(控制措施的选用) 风险监控(监视风险，定期再评估)

信息安全工程学

风险管理的概念

风险管理与信息安全管理 信息安全管理是以风险为驱动的。可以看到，PDCA的

各个阶段，主要工作是对信息系统的风险来做识别、

CCRC-QOT-0430-B/4 信息安全应急处理服务资质认证自评估表

信息安全应急处理服务资质认证自评估表

组织名称 评估时间 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 申报级别 评估部门/人员 序号 1. 服务技术要求 建立信息安全应急处理服务流程。 制定信息安全应急处理服务规范并按照规范实施。 明确客户的应急需求。 按照相关标准建立的信息安全应急处理服务流程，流程图中应包括每个阶段对应的职责、输入输出等。 已制定的信息安全应急处理服务规范。 应急服务内容，已完成项目中对客户应急需求进行调研分析的证明材料。 需对客户自身已建立的应急预案的内容进行了解与熟悉（客户应急预案的内容）。 2. 3. 4. 准备阶段 了解客户应急预案的内容。 5. 6. 配备有处理网络或信息安全事件的工具包，包括常用的系统命令、工具软件等。 工具包及工具列表 仅二级/一级要求：网络与信息安全事件中国

CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理

填表说明：

1、申请三级信息安全服务资质认证时，仅需填写该自评估表。

2、申请一、二级服务资质认证时，该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

组织名称 评估时间 序号 要点 条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 服务类别/级别 评估部门/人员 如有工控安全请注明行业。 1. 仅适用于初次认证： 在中华人民共和国境内注册的法律地位独立法人组织，发展历程清晰，要求 产权关系明确。 监督审核： 如有变化则重新提供。 营业执照/事业单位登记证，核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。 如独立法人实体的一个部门或

信息技术安全系统的风险评估问题

计算机：焦世斗 物理：宋世巍 电子：张弘

摘要

本文把信息技术安全系统的风险评估问题归为一类优化问题。是学校在以用户效率、机会成本为约束条件下，寻找能使总成本最小的措施的优化组合模型。

通过对数据的分析和题中所给条件，我们认为C、I、A影响机会成本，并存在一个经验初始值C0,I0,A0（均在0到1之间），每项措施会对C、I、A产生影响，进而会对机会成本（和它发生的概率）、总成本产生影响，。在以用户效率、机会成本为约束条件下，求总成本的最小值。因此我们建立这样的模型：

??Y??f(xi,pi)?Cost??（）1??pi?gi(CMk,IMk,AMk)?（2）?(0?k?19)???????????????和

?k?Cost??Costl??????????（3）?l?1?f(x,p)?x?p????????（4）iiii??Mk??m1,m2,???,mk???????????????????（5）??CMk=1-{[arctan(C0?MC)]?2/?}????(6)??IMk?1?{[arctan(I0?MI)]?2/?}??(7) ??AMk?1?{[arctan(A0?MA)]?2/?}??(8)?

企业安全生产风险评估及风险控制程序

1 危险源辨识、风险评价 和风险控制策划控制程序

1 目的 风险评估是因那些物理、化学、微生物等对人或产品所带来的的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性而进行评估评估。作为风险管理的基础，风险评估是组织确定安全需求的一个重要途径，属于组织安全管理体系策划的过程。持续对全管理处范围内所有危险源进行辨识、风险评价和风险控制的策划，为消除事故隐患奠定基础。

2 适用范围 适用于全管理处危险源辨识、风险评价和风险控制的策划工作。 3 职责

3.1 管理者代表负责组织管理处危险源的辨识、风险评价和风险控制的策划工作。

3.2 安全办公室是管理处危险源辨识、风险评价和风险控制的策划工作的归口管理部门。

3.3 各科室和单位负责其管辖范围内的危险源辨识工作，参加风险评价和风险控制策划工作。 4 工作程序

4.1 危险源辨识和风险评价过程 确定生产作业过程→识别危险源→安全风险评价→登记重大安全风险。 4.2 危险源的辩识

4.2.1 危险源的辩识应考虑以下方面：

4.2.1.1 所有活动中存在的危险源。包括管理处管理和工作过程中所有人员的

中铁二十一局集团路桥有限公司锦龙立交一标工程 安全风险评估

中铁二十一局集团路桥有限公司锦龙立交一标项目部

安全风险评估

编制单位 ：深圳坪盐通道锦龙立交一标项目部 编制人 ： 审批人 ： 编制时间 ： 颁布时间 ：

中铁二十一局集团路桥有限公司

中铁二十一局集团路桥有限公司锦龙立交一标工程 安全风险评估

一、编制依据

1、《公路桥梁和隧道工程施工安全风险评估指南》（试行）交质监发【2011】217号；

2、交通部颂发的《公路工程标准施工招标文件（2009年版）》、现行《公路工程技术标准》、现行《公路隧道施工技术规范》、现行《公路工程施工安全技术规程》等相关规范；

3、《公路施工手册》、现行《工程建设标

1 物理脆弱性识别

物理脆弱性检测主要是对场所环境（计算机网络专用机房内部环境、外部环境和各网络终端工作间）、电磁环境（内部电磁信息泄露、外部电磁信号干扰或冲击）、设备实体（网络设备、安全防护设备、办公设备）、线路进行检测，通过问卷调查和现场技术检测方式，得出物理方面存在的脆弱性。

1.1 环境物理脆弱性识别

1.1.1 场地设置

1.1.1.1 机房选址

检查目的 检测依据 检测对象 检测方法 检查流程 （流程图） 检查结果 漏洞等级 加固建议 检查目的 检测依据 检测对象 检测方法 检查流程 （流程图） 检查结果 漏洞等级 加固建议 检查目的 检测依据 检测对象 检测方法 检查流程 （流程图） 检查结果 漏洞等级 检查辅助区划分是否合理 GB/T 20984 机房 技术交流、现场查看 询问辅助区划分 高 中 低 检查主机房划分是否合理 GB/T 20984 机房 技术交流、现场查看 询问主机房划分 高 中 低 检查地理位置选择是否合理 GB/T 20984 机房 技术交流、现场查看 询问机房具体地址 查看机房所在地是否划分主机房、辅助区、