信息安全风险评估包括哪些

‘壹’ 信息安全风险评估包括哪些

一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
一、信息安全风险评估的基本过程主要分为：
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
二、信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

‘贰’ 信息安全风险评估的基本过程包括哪些阶段

信息安全风险评估的基本过程主要分为：
1.风险评估准备过程

2.资产识别过程

3.威胁识别过程

4.脆弱性识别过程
5.风险分析过程
信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

‘叁’ 信息安全风险评估这个岗位具体是做什么事的呀.

网络信息安全工程师随着互联网发展和IT技术的普及，网络和IT已经日渐深入到日常生活和工作当中，社会信息化和信息网络化，突破了应用信息在时间和空间上的障碍，使信息的价值不断提高。但是与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据CNCERT/CC统计，2007 年上半年，CNCERT/CC 共发现8361 个境外控制服务器对我国大陆地区的主机进行控制。据美国计算机应急响应小组(CERT)发布的数据显示，2006年安全研究人员共发现了8064个软件漏洞，与2005年相比增加2074个。目前，许多企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。信息已经成为各企事业单位中重要资源，也是一种重要的“无形财富”，在未来竞争中谁获取信息优势，谁就掌握了竞争的主动权。信息安全已成为影响国家安全、经济发展、社会稳定、个人利害的重大关键问题。面对国家和社会的需求，信息产业部电子教育与考试中心启动实施“网络信息安全工程师高级职业教育(Network Security Advanced Career Ecation)”（简称NSACE）项目。其目标就是培养“德才兼备、攻防兼备”信息安全工程师，能够在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作。NSACE项目总体目标是培养“德才兼备、攻防兼备”信息安全工程师，能够在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作。既要满足当前的信息安全工作岗位要求，又能使学员具备职业发展的潜力。打造具有“先进性、前瞻性、实用性、可操作性”职业教材，引领学员职业成长。NSACE项目各级培训目标分别描述如下：1．初级目标在本级别中，学员经过训练，能够担负起小型网络信息安全工作。对网络信息安全有较为完整的认识，掌握电脑安全防护、网站安全、电子邮件安全、Intranet网络安全部署、操作系统安全配置、恶意代码防护、常用软件安全设置、防火墙的应用等技能。2．中级目标在本级别中，学员得到充分专业训练，能完善和优化企业信息安全制度和流程。信息安全工作符合特定的规范要求，能够对系统中安全措施的实施进行了跟踪和验证，能够建立起立体式、纵深的安全防护系统，部署安全监控机制，对未知的安全威胁能够进行预警和追踪。3．高级目标在本级别中，学员能够针对安全策略、操作规程、规章制度和安全措施做到程序化、周期化的评估、改善和提升，能够组织建立本单位的信息安全体系。信息安全管理能够结合本单位的具体情况，制定合适的管理制度和流程，并能提出信息安全管理理念，推广到本单位中具体管理活动中。在技术能力上，对本单位的系统中安全措施能够总体上把关，掌握防护系统的脆弱性分析方法，能够提出安全防护系统的改进建议。熟悉信息安全行业标准和产品特性，熟悉信息安全技术发展动向，针对本单位信息安全需求，能够选择合适安全技术和产品

‘肆’ 对信息安全风险评估的描述以下哪些是正确的

电厂风险评估，是对电厂危害发生的可能性，也就是安全性进行风险等级划分。
风险等级是标志风险影响程度的概念。依据企业承受风险的能力一般可分为可接受风险和不可接受风险两大类。
可接受风险表示此类风险对企业生产经营、人员安全和健康没有影响，或者影响程度很小，在可接受范围，不需要专注控制的风险。
不可接受风险表示此类风险对企业生产经营、经济效益和社会信誉造成严重的影响，对人员的安全和健康构成较大威胁，已超出企业可接受范围，必须采取措施予以控制，否则，风险一旦成为事实，企业将蒙受财务损失以及信誉危机。
对不可接受风险等级描述为重大、较大、一般。对可接受风险等级各部门进行解决。

‘伍’ 信息安全风险评估的目录

第一部分基本知识
第1章引论
1.1信息与信息安全
1.2信息安全技术与信息安全管理
1.3信息安全风险评估
1.4开展信息安全风险评估工作的意义
1.5我国信息安全风险评估推进过程
第2章主要内容
2.1信息安全风险评估的内涵
2.2信息安全风险评估的两种方式
2.3信息安全风险评估的五个环节
2.4信息安全风险评估的组织管理工作
第二部分技术与方法
第3章评估工作概述
3.1工作原则
3.2参考流程
3.3质量管理
3.4质量控制规范要求
第4章评估准备
4.1评估目的
4.2评估范围及描述
4.3建立评估团队
4.4前期系统调研
4.5确定评估标准
4.6条件准备
4.7项目启动及培训
第5章资产识别
5.1工作内容
5.2参与人员
5.3工作方式
5.4工具及资料
5.5输出结果
第6章威胁识别
6.1工作内容
6.2参与人员
6.3工作方式
6.4工具及资料
6.5输出结果
第7章脆弱性识别
7.1工作内容
7.2参与人员
7.3工作方式
7.4工具及资料
7.5输出结果
第8章安全措施识别与确认
8.1工作内容
8.2参与人员
8.3工作方式
8.4工具及资料
8.5输出结果
第9章风险分析阶段
9.1风险分析模型
9.2风险分析
9.3工具及资料
9.4输出结果
第10章有关技术标准
10.1BS 7799/ISO 17799
10.2ISO/IEC TR 13335
10.3OCTAVE 2.0
10.4ISO 15408/GB 18336/CC
10.5等级保护
10.6涉秘信息系统分级保护技术要求
第三部分产品与工具
第11章风险评估管理工具
11.1天融信信息安全管理系统
11.2启明星辰风险评估管理系统
11.3联想网御风险评估辅助工具
第12章漏洞扫描分析工具
12.1极光远程安全评估系统
12.2天镜脆弱性扫描与管理系统
12.3ISS安全漏洞扫描系统
第13章入侵检测工具
13.1概述
13.2冰之眼网络入侵检测系统
13.3天阗入侵检测系统
第14章案例一：某国税安全评估项目
14.1项目概述
14.2项目阶段
14.3交付的文档及报告
14.4项目时间表
14.5安全评估具体实施内容
14.6附录
第15章案例二：某电信公司信息安全风险评估项目
15.1项目概述
15.2风险评估方案实施
15.3安全信息库的建设
15.4项目验收
15.5评估工具
第16章案例三：某公司网络风险评估项目
16.1项目概述
16.2项目指导策略
16.3风险评估方法
16.4项目实施

‘陆’ 什么是信息安全、等级保护以及风险评估

信息安全等级保护，是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。
按照《计算机信息系统安全保护等级划分准则》规定的规定，中国实行五级信息安全等级保护。
第一级：用户自主保护级；
第二级：系统审计保护级；
第三级：安全标记保护级；
第四级：结构化保护级；
第五级：访问验证保护级。
风险评估，就是量化评判安全事件带来的影响或损失的可能程度。 
从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

‘柒’ 信息安全风险评估什么意思

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。

风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

‘捌’ 信息安全风险评估的内容提要

信息安全风险评估理论研究日趋成熟，相关资料比较充分，但有关评估实际工作的参考资料很少。本书以信息安全风险评估实践为基础，围绕评估工作中各阶段的实际操作，分基本知识、技术与方法、产品与工具、案例四个部分，详细介绍了信息安全风险评估的基本概念、国家政策及标准发展、评估实操方法、各种实际评估表格示例、评估分析模型和计算公式、主要的评估工具，并从不同行业和不同评估目的出发，列举了多个评估案例，供读者参考。

‘玖’ 信息安全风险评估有哪些方法有哪些专业机构可以推荐下

信息安全风险评估业界主要有定性和定量的两类方法，有些偏重资产评价，有些偏重合规评价，有些偏重风险及影响评价，目前知道的企业做信息安全比较好的就是谷安天下了，他们有专业的团队，经验都挺丰富的。

‘拾’ 信息安全风险评估的基本要素有哪些

信息安全风险评估的基本过程主要分为： 1.风险评估准备过程 2.资产识别过程 3.威胁识别过程 4.脆弱性识别过程 5.风险分析过程 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。