等保2.0要求做风评,风评需要测评中心来做-中国信息安全测评中心 http://www.itsec.gov.cn/
什么是风险评估?
依据国际/国家有关信息安全技术标准,评估资产、信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,和利用后对其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响
风险评估的步骤(4阶段)
- 准备阶段:主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。
- 识别阶段:主要完成大量的现场识别工作,主要有资产识别、威胁识别、脆弱性识别、安全措施识别。
- 分析阶段:在识别的基础上进行大量整理并分析,得出风险评估各要素的风险状况,具体有资产影响分析、威胁分析、脆弱性分析、综合风险分析。
- 规划验收阶段:对综合风险进行梳理分析,制定风险控制规划,完成项目交付文档,提交客户讨论汇报;取得客户对项目认可,完成项目验收。
| 步骤 | 具体内容 | 输入文件 | 输出文件 |
|---|---|---|---|
| 准备阶段 | 项目准备、项目启动 | 安全保密协议 | 风险评估实施方案 |
| 识别阶段 | 资产识别、威胁识别、脆弱性识别 、安全措施识别 | 漏洞检测安全服务项目实施申请书 | 安全现状调查报告 |
| 分析阶段 | 对识别的内容进行分析 | 识别期间各类调查表 | 资产、威胁、脆弱性评估报告;风险评估综合报告 |
| 规划验收阶段 | 汇报评估结果、验收 | 风险评估综合报告 | 风险控制建议 |
风险值计算方式
1.资产 * 威胁 * 脆弱性
2.矩阵计算 https://blog.csdn.net/suiyideAli/article/details/84076685
风险评估原则(3原则)
标准性原则
可控性原则
最小影响原则
风险评估的依据是各类赋值标准,如资产评估通过CIA(即机密性、完整性、可用性)赋值标准来判定;威胁评估通过对威胁发生的可能性用频率来衡量赋值
脆弱性评估中包含渗透测试