收藏小站
网络安全等保保护风险评估方案 联系客服

发布时间 : 星期一 文章网络安全等保保护风险评估方案更新完毕开始阅读1ab44a9bbf1e650e52ea551810a6f524cdbfcbc0

胁还缺乏一个全面的认识和了解,对于我们的信息安全管理方面存在哪些安全漏洞和隐患也缺乏一个清晰的认识。而风险评估恰恰是帮助我们了解这些信息的一个必要而有效的手段。

通过风险评估项目的实施,我们可以清楚的了解目前网络以及信息安全管理的现状。

3.2. 提供安全项目建设依据

目前几乎所有的企业都意识到了安全的重要性,也都在积极推动信息安全建设。一种常见的安全建设方式如下:

出现问题-->进行安全项目投资-->寻找产品-->产品实施

但这种头痛医头、脚痛医脚的方式很快便暴露其弊端:随着业务系统的发展和多样性安全需求的提出,老的问题安全解决了,但新的安全隐患又源源不断地被发现,系统的整体安全状况也没有得到明显改善。之所以这种情况,问题在于在进行信息安全建设中没有对企业的安全现状进行必要的风险评估,只是简单的认为网络中存在的安全问题通过简单的安全产品配置即可解决,所以最后造成信息安全项目投资失败也就在所难免了。

目前虽然XXXX从上至下、从最高领导到基层员工都知道应该抓安全,但对安全防护的范围和成效并无把握。例如:最大的安全问题是什么?应该保护到哪一级?投入多少经费才合适?采用的安全措施是否是有用的?安全项目实施以后,安全问题是否就解决了?是否会在项目建设完以后仍然遗留重大隐患?这些问题,实际上已经严重影响到了信息安全建设的决策。

只有经过对网络系统进行整体的风险评估,然后以《风险评估报告》作为信息安全建设的依据和基准点,才能够为信息安全建设决策提供强有力的决策支持,并最大程度的保证信息安全建设的成功。

——————————————————————————————————————————————

3.3. 有效规避项目风险

3.3.1. 避免盲目投资

为信息安全建设投入相应的资金,同样面临着两种风险:投资过度与投资不足。投资过度是指人为夸大了风险的程度,使得用于安全建设的资金远远超过所保护资产的原有价值,例如用一万元的代价去保护价值一千元的信息。投资不足则是低估了安全威胁可能造成的损失,使得安全建设投入不足,以致于系统中的重大威胁没有得到消除,在系统遭到破坏的时候才发现原有的防护措施不够。

实际上,评估安全建设所需资金与评估安全威胁带来的损失同样重要。在现代网络环境中,安全措施是必不可少的,但只有经过风险评估确定需要何种层次的保护水平,然后使用这些分析后的数据信息制定出安全防护的策略,才能有效地作出信息安全建设预算。

国内某券商就曾有过投资失败的教训,他们在没有进行充分的风险评估的情况下,就盲目地购买了一些防病毒、防火墙等安全产品,认为这样系统就安全了。结果,今年二月,网络中大面积爆发蠕虫病毒,造成网络拥塞,业务中断。当客户已经进行了投诉,系统管理员查找问题原因的时候,才发现系统中根本就没有建立相应的监控机制,无法知道问题出自于何方,导致了故障迟迟不得解决。事后反思,该安全投资因为低估了系统风险而导致失败。

所以,在进行信息安全建设投资的第一步进行风险评估是非常必要的。一个风险评估项目的成功实施是做好信息安全建设的良好开端。

3.3.2. 防止项目失控

一个信息安全建设项目,如果没有经过充分的信息采集、调研和评估而匆忙上马,很有可能陷入以下三种尴尬的境地,导致项目失控:

1. 信息安全建设目标不当。目标错误的后果是解决了部份安全问题,但必

须要解决的风险被遗漏,安全项目仍然不能保证系统的安全运行。 2. 信息安全建设的目标虽然正确,但不具备可操作性,难以实现其目标。

最常见的情况就是,为了达到某一个防护目标,必须要对网络系统、业

——————————————————————————————————————————————

务系统做重大的变动,以至于严重影响原有业务的连续运行。象这样不可实现的安全防护,实际上也反应出目标的制订存在主观性,缺乏建立在评估过程之上的安全管理和控制。

3. 信息安全建设未达到预定目标。如果没有风险评估的过程,即使目标正

确,策略配置的不当也会影响安全控制措施的性能发挥,使到预定目标难以达到。风险评估的过程除了揭示风险之外,另有一个重要的功能就是指导风险管理的进行,即对每一项风险提供针对性的策略,采取适合的控制措施。

在安全项目建设之前进行风险评估,能够有效预防以上三种问题的发生,避免信息安全项目失控。

4. 评估范围和内容

4.1. 范围

评估范围的确定是评估过程中的关键因素,不同的评估范围决定了不同的评估对象、评估方式、评估内容。评估范围可以依据业务关系来确定(例如交易搓合系统),或者依据地域关系(例如某一幢大楼),或者某个子网(例如财务子网)。根据证券交易所的特性与需求,我们建议先以办公网为本次评估的范围,根据评估的效果,以后可以逐步扩展到业务领域。

(重要提示:在本次项目启动之前,双方需要明确界定本次评估的范围,以利于确定详细的实施内容和计划。)

4.2. 涉及领域

本次评估涉及信息安全管理的十大领域:

——————————————————————————————————————————————

——————————————————————————————————————————————

Word文档下载:网络安全等保保护风险评估方案.doc
搜索更多:网络安全等保保护风险评估方案

最新浏览


热门浏览
All rights reserved Powered by 南京廖华 
资料来自互联网, 有任何疑问,请联系客服邮箱:xxxxx☒qq.com qq:xxxxx 苏ICP备20003344号-1