2022年2022年安全等级保护测评项目中的风险管理VIP

1、精选学习资料 - - - 欢迎下载安全等级爱护测评项目中的风险治理精品学习资料精选学习资料 - - - 欢迎下载摘 要：信息系统安全等级测评为等保工作的重要环节,等保测评工作的成果直接影响到等级爱护制度的落实及开展；目前等保测评机构在测评项目的开展过程中,会遇到各种各样的因素影响测评项目的实施；为了有效地开展等级爱护测评工作,需要在项目实施过程中对其所可能遇到的风险进行治理；本文主要运用风险治理方法,对测评活动中的主要风险进行分析,通过分析在不同阶段面临的风险值,来评判各测评项目阶段主要需要应对的风险内容, 并在此基础上面提出了相应的应对措施；关键词 ：等级爱护；测评；风险治理；the ris

2、k management of information security level protection assessmenthu hao china unicom system integration limited corporation、 beijing 100032abstract：assessment is an important part of information system security level protection、 the result directly affect the level protection system anddeveloping the

3、 implementation. at present the evaluation institutions would meet various factors which affect assessment project implementation. in order to effectively develop level protection、 the possible risk in projectimplementation process should bemanaged. this paper mainly with the application of risk man

4、agement methods of assessment activities、 the main risk analysis in different stages、 by analyzing the risks of value、 to evaluate thetest project phase is needs to deal with risk content、 and based on this、 it puts forward the corresponding countermeasures.key words ：information security level prot

5、ection 、assessment、 risk management精品学习资料精选学习资料 - - - 欢迎下载0 引言信息安全等级爱护制度为国家信息安全保证工作的基本制度.基本策略和基本方法,为促进信息化健康进展,爱护国家安全.社会秩序和公共利益的根本保证；信息安全等级爱护测评为等级爱护工作的重要环节,信息系统备案单位通过开展等级测评,可以查找自身系统安全隐患和薄弱环节,明确系统与相应等级标准要求的差距和不足,有针对性地进行安全建设整改；2等级测评工作对于测评机构来说,测评风险为一个特别重要的概念；参考美国风险治理专家3c·arther williams, jr rocjard

6、 m heoms作出的风险定义,即“给定情形下的可能结果的差异性”；也就为说,测评风险就为测评机构通过掌握自身测评活动所产生的测评结果差异性；而测评结果的差异性将直接影响到信息系统的安全性及等保测评工作的有效性上面,随着等级爱护工作的开展,行业主管部门及被测评单位对于测评结果的精确程度及测评过程中的风险掌握要求越来越严格；为了连续性的开展等保测评业务,测评项目工作中的风险掌握将成为测评机构所面临的重要任务；6依据风险治理的定义：风险为指可能对目标的实现产生影响的大事发生的不确定性；对企业来说,风险为某种不利因素产生并造成实际缺失,致使企业目标无法实现或降低实现目标的效率的可能性；风险治理就为实

7、行肯定的措施对风险进行检测评判,使风险降到可以接受的程度,并将其掌握在某一可以接受的水平上；风险治理为一个系统过程,包括风险的识别.衡量和掌握等环节；风险治理的目标在于掌握和削减缺失,提高有关单位或个人的经济利益或社会成效；风险治理为一种治理方法 ；本文主要运用风险治理方法,对测评活动中的主要风险进行分析,并提出相应的应对措施1 测评项目风险识别等保测评工作存在风险,而测评风险为可以识别的,只有识别出测评风险,才能对风险加以掌握和防范；下文对在测评过程中,简单显现的主要风险进行分析；1.1 有效性风险等级测评为对客户的信息系统进行标准符合性评判,系统信息的采集.评判尤为重要,测评结果的有效性.

8、符合性与一样性直接关系测评机构的服务质量与信誉,关系到测评机构的生存和进展；在等级测评过程中第一要进行的为信息收集工作,在信息收集的过程中,常常会存在信息收集不完整.信息描述不精确等问题,而不精确的信息将会对测评方案编制工作中测评指标及测评对象的挑选带来偏差；而在作业指导书的编制过程及现场测评中,不同工程师对标准要精品学习资料精选学习资料 - - - 欢迎下载求的懂得也会影响到测评工作的有效性和精确性；在报告编制过程中测评师对测评结果的分析为否合理,对于测评结论的有效性也有较大影响；1.2 公平性风险等级测评工作的结论对于国家等级爱护体系及信息安全治理有着相当重要的作用；同时,等级测评的报告对

9、于被测评单位的信息安全治理工作也有着比较重要的影响；因此,等级爱护测评报告的公平性为特别重要的,关系到测评机构的信誉；在测评过程中,测评工程师.测评机构通常会受到市场竞争压力.测评机构自身业务进展压力.被测评机构合同及财务压力等多方面的影响,从而导致测评结论的公平性问题；1.3 保密性风险等级测评工作,要求测评机构深化明白被测评系统的治理.技术及业务方面的信息；而这些信息大部分涉及到企业或机构的商业.工作隐秘；假如测评工作中,测评机构泄漏了检测单位的系统状态信息,如网络拓扑.ip 地址.业务流程.安全机制.安全隐患和有关文档信息,将会对检测单位的信息系统带来极大的安全问题；因此,保密性风险的掌

10、握,为测评工作能够顺当开展的前提条件；在测评过程中,资料收集.现场测评记录.编制报告等活动都会使用到被测评单位系统相关信息,在信息的使用和交换过程中多存在着信息泄漏的风险；1.4 实施操作风险测评人员在客户现场实施测评,为等级测评中的主要活动,被测评单位生产现场环境复杂,信息系统在网运行；一旦在现场测评的过程中,发生信息安全问题,将会对被测评方的信息系统带来比较严峻的损害,有可能会造成系统中断.数据丢失等；严峻的可能带来经济方面的缺失；因此,现场测评的安全风险规避为测评机构应当重视和讨论的重要问题；上一页 1 2下一页在现场测评时,需要对设备和系统进行肯定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成肯定的影响,甚至存在误操作的可能；同时,在测评过程中,会使用一些技术测评工具进行漏洞扫描测试.性能测试甚至抗渗透才能测试；测试可能会对系统的负载造成肯定的影响,漏洞扫描测试和渗透测试可能