信息安全風險評估包括哪些

『壹』 信息安全風險評估包括哪些

一個完善的信息安全風險評估架構應該具備相應的標准體系、技術體系、組織架構、業務體系和法律法規。
一、信息安全風險評估的基本過程主要分為：
1.風險評估准備過程
2.資產識別過程
3.威脅識別過程
4.脆弱性識別過程
5.風險分析過程
二、信息安全風險評估的概念涉及資產、威脅、脆弱性和風險4個主要因素。信息安全風險評估就是從管理的角度，運用科學的方法和手段，系統分析網路與信息系統所面臨的威脅及存在的脆弱性。評估安全事件一旦發生可能造成的危害程度，提出有針對性地抵禦安全威脅的防護措施，為防範和化解信息安全風險，將風險控制在可以接受的水平，最大限度地保障網路正常運行和信息安全提供科學依據。

『貳』 信息安全風險評估的基本過程包括哪些階段

信息安全風險評估的基本過程主要分為：
1.風險評估准備過程

2.資產識別過程

3.威脅識別過程

4.脆弱性識別過程
5.風險分析過程
信息安全風險評估的概念涉及資產、威脅、脆弱性和風險4個主要因素。信息安全風險評估就是從管理的角度，運用科學的方法和手段，系統分析網路與信息系統所面臨的威脅及存在的脆弱性。評估安全事件一旦發生可能造成的危害程度，提出有針對性地抵禦安全威脅的防護措施，為防範和化解信息安全風險，將風險控制在可以接受的水平，最大限度地保障網路正常運行和信息安全提供科學依據。

『叄』 信息安全風險評估這個崗位具體是做什麼事的呀.

網路信息安全工程師隨著互聯網發展和IT技術的普及，網路和IT已經日漸深入到日常生活和工作當中，社會信息化和信息網絡化，突破了應用信息在時間和空間上的障礙，使信息的價值不斷提高。但是與此同時，網頁篡改、計算機病毒、系統非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發生。據CNCERT/CC統計，2007 年上半年，CNCERT/CC 共發現8361 個境外控制伺服器對我國大陸地區的主機進行控制。據美國計算機應急響應小組(CERT)發布的數據顯示，2006年安全研究人員共發現了8064個軟體漏洞，與2005年相比增加2074個。目前，許多企事業單位的業務依賴於信息系統安全運行，信息安全重要性日益凸顯。信息已經成為各企事業單位中重要資源，也是一種重要的「無形財富」，在未來競爭中誰獲取信息優勢，誰就掌握了競爭的主動權。信息安全已成為影響國家安全、經濟發展、社會穩定、個人利害的重大關鍵問題。面對國家和社會的需求，信息產業部電子教育與考試中心啟動實施「網路信息安全工程師高級職業教育(Network Security Advanced Career Ecation)」（簡稱NSACE）項目。其目標就是培養「德才兼備、攻防兼備」信息安全工程師，能夠在各級行政、企事業單位、網路公司、信息中心、互聯網接入單位中從事信息安全服務、運維、管理工作。NSACE項目總體目標是培養「德才兼備、攻防兼備」信息安全工程師，能夠在各級行政、企事業單位、網路公司、信息中心、互聯網接入單位中從事信息安全服務、運維、管理工作。既要滿足當前的信息安全工作崗位要求，又能使學員具備職業發展的潛力。打造具有「先進性、前瞻性、實用性、可操作性」職業教材，引領學員職業成長。NSACE項目各級培訓目標分別描述如下：1．初級目標在本級別中，學員經過訓練，能夠擔負起小型網路信息安全工作。對網路信息安全有較為完整的認識，掌握電腦安全防護、網站安全、電子郵件安全、Intranet網路安全部署、操作系統安全配置、惡意代碼防護、常用軟體安全設置、防火牆的應用等技能。2．中級目標在本級別中，學員得到充分專業訓練，能完善和優化企業信息安全制度和流程。信息安全工作符合特定的規范要求，能夠對系統中安全措施的實施進行了跟蹤和驗證，能夠建立起立體式、縱深的安全防護系統，部署安全監控機制，對未知的安全威脅能夠進行預警和追蹤。3．高級目標在本級別中，學員能夠針對安全策略、操作規程、規章制度和安全措施做到程序化、周期化的評估、改善和提升，能夠組織建立本單位的信息安全體系。信息安全管理能夠結合本單位的具體情況，制定合適的管理制度和流程，並能提出信息安全管理理念，推廣到本單位中具體管理活動中。在技術能力上，對本單位的系統中安全措施能夠總體上把關，掌握防護系統的脆弱性分析方法，能夠提出安全防護系統的改進建議。熟悉信息安全行業標准和產品特性，熟悉信息安全技術發展動向，針對本單位信息安全需求，能夠選擇合適安全技術和產品

『肆』 對信息安全風險評估的描述以下哪些是正確的

電廠風險評估，是對電廠危害發生的可能性，也就是安全性進行風險等級劃分。
風險等級是標志風險影響程度的概念。依據企業承受風險的能力一般可分為可接受風險和不可接受風險兩大類。
可接受風險表示此類風險對企業生產經營、人員安全和健康沒有影響，或者影響程度很小，在可接受范圍，不需要專注控制的風險。
不可接受風險表示此類風險對企業生產經營、經濟效益和社會信譽造成嚴重的影響，對人員的安全和健康構成較大威脅，已超出企業可接受范圍，必須採取措施予以控制，否則，風險一旦成為事實，企業將蒙受財務損失以及信譽危機。
對不可接受風險等級描述為重大、較大、一般。對可接受風險等級各部門進行解決。

『伍』 信息安全風險評估的目錄

第一部分基本知識
第1章引論
1.1信息與信息安全
1.2信息安全技術與信息安全管理
1.3信息安全風險評估
1.4開展信息安全風險評估工作的意義
1.5我國信息安全風險評估推進過程
第2章主要內容
2.1信息安全風險評估的內涵
2.2信息安全風險評估的兩種方式
2.3信息安全風險評估的五個環節
2.4信息安全風險評估的組織管理工作
第二部分技術與方法
第3章評估工作概述
3.1工作原則
3.2參考流程
3.3質量管理
3.4質量控制規范要求
第4章評估准備
4.1評估目的
4.2評估范圍及描述
4.3建立評估團隊
4.4前期系統調研
4.5確定評估標准
4.6條件准備
4.7項目啟動及培訓
第5章資產識別
5.1工作內容
5.2參與人員
5.3工作方式
5.4工具及資料
5.5輸出結果
第6章威脅識別
6.1工作內容
6.2參與人員
6.3工作方式
6.4工具及資料
6.5輸出結果
第7章脆弱性識別
7.1工作內容
7.2參與人員
7.3工作方式
7.4工具及資料
7.5輸出結果
第8章安全措施識別與確認
8.1工作內容
8.2參與人員
8.3工作方式
8.4工具及資料
8.5輸出結果
第9章風險分析階段
9.1風險分析模型
9.2風險分析
9.3工具及資料
9.4輸出結果
第10章有關技術標准
10.1BS 7799/ISO 17799
10.2ISO/IEC TR 13335
10.3OCTAVE 2.0
10.4ISO 15408/GB 18336/CC
10.5等級保護
10.6涉秘信息系統分級保護技術要求
第三部分產品與工具
第11章風險評估管理工具
11.1天融信信息安全管理系統
11.2啟明星辰風險評估管理系統
11.3聯想網御風險評估輔助工具
第12章漏洞掃描分析工具
12.1極光遠程安全評估系統
12.2天鏡脆弱性掃描與管理系統
12.3ISS安全漏洞掃描系統
第13章入侵檢測工具
13.1概述
13.2冰之眼網路入侵檢測系統
13.3天闐入侵檢測系統
第14章案例一：某國稅安全評估項目
14.1項目概述
14.2項目階段
14.3交付的文檔及報告
14.4項目時間表
14.5安全評估具體實施內容
14.6附錄
第15章案例二：某電信公司信息安全風險評估項目
15.1項目概述
15.2風險評估方案實施
15.3安全信息庫的建設
15.4項目驗收
15.5評估工具
第16章案例三：某公司網路風險評估項目
16.1項目概述
16.2項目指導策略
16.3風險評估方法
16.4項目實施

『陸』 什麼是信息安全、等級保護以及風險評估

信息安全等級保護，是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。
按照《計算機信息系統安全保護等級劃分准則》規定的規定，中國實行五級信息安全等級保護。
第一級：用戶自主保護級；
第二級：系統審計保護級；
第三級：安全標記保護級；
第四級：結構化保護級；
第五級：訪問驗證保護級。
風險評估，就是量化評判安全事件帶來的影響或損失的可能程度。 
從信息安全的角度來講，風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬於組織信息安全管理體系策劃的過程。

『柒』 信息安全風險評估什麼意思

風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。它是確認安全風險及其大小的過程，即利用定性或定量的方法，藉助於風險評估工具，確定信息資產的風險等級和優先風險控制。

風險評估是風險管理的最根本依據，是對現有網路的安全性進行分析的第一手資料，也是網路安全領域內最重要的內容之一。企業在進行網路安全設備選型、網路安全需求分析、網路建設、網路改造、應用系統試運行、內網與外網互聯、與第三方業務夥伴進行網上業務數據傳輸、電子政務等業務之前，進行風險評估會幫助組織在一個安全的框架下進行組織活動。它通過風險評估來識別風險大小，通過制定信息安全方針，採取適當的控制目標與控制方式對風險進行控制，使風險被避免、轉移或降至一個可被接受的水平。

『捌』 信息安全風險評估的內容提要

信息安全風險評估理論研究日趨成熟，相關資料比較充分，但有關評估實際工作的參考資料很少。本書以信息安全風險評估實踐為基礎，圍繞評估工作中各階段的實際操作，分基本知識、技術與方法、產品與工具、案例四個部分，詳細介紹了信息安全風險評估的基本概念、國家政策及標准發展、評估實操方法、各種實際評估表格示例、評估分析模型和計算公式、主要的評估工具，並從不同行業和不同評估目的出發，列舉了多個評估案例，供讀者參考。

『玖』 信息安全風險評估有哪些方法有哪些專業機構可以推薦下

信息安全風險評估業界主要有定性和定量的兩類方法，有些偏重資產評價，有些偏重合規評價，有些偏重風險及影響評價，目前知道的企業做信息安全比較好的就是谷安天下了，他們有專業的團隊，經驗都挺豐富的。

『拾』 信息安全風險評估的基本要素有哪些

信息安全風險評估的基本過程主要分為： 1.風險評估准備過程 2.資產識別過程 3.威脅識別過程 4.脆弱性識別過程 5.風險分析過程 信息安全風險評估的概念涉及資產、威脅、脆弱性和風險4個主要因素。