2017年のリリースでは、「ネットワークセキュリティ法」、自分のビジネスの状況を構築し、ネットワークのセキュリティを懸念ビジネスリーダーが増えているの実装、およびV2.0近づいリリース「情報セキュリティ技術は、ネットワークのセキュリティ要件の基本的なレベルを保護します」、企業ネットワークのセキュリティ、建物のより明確な方向性。顧客との近未来技術交流でセレナは、クライアントはしばしば「リスク評価」と「や他のセキュリティ・アセスメント」を参照してください、しかし、一部の顧客は、多くの場合、2つを混同しました。セレナは、今日誰もが、このような保険リスク評価との評価などの類似点と相違点を要約するため。
一つは、保険のリスク評価及び評価の概要などの
リスクアセスメント:
-で、主に情報セキュリティリスクアセスメントに基づいており、標準、2007年、中国の標準化管理はGB / Tを20984から2007「情報セキュリティリスクアセスメントの規範情報セキュリティ技術」発行しました2011:2011年に国家標準化管理委員会独自の基準に基づいて、標準ユーザーIT情報セキュリティのリスク評価、すなわちISO / IEC 27005の第二版をリリースしました。GB / T 20984-2007およびISO / IEC 27005:2011、推奨情報セキュリティリスク評価方法は、情報セキュリティリスクアセスメントの方法として使用することができます。
リスクアセスメントは、リスク識別、リスク分析、これらの三つのプロセスのリスク評価を含んでいます。その主な活動はスコープとの境界を決める②、ガイドラインの①を確立するための作業が含まれ、③リスク評価、リスク分析、④リスク評価、⑤リスク管理。詳細は図を参照してください。
図1リスクアセスメント作業活動
などセキュリティ評価として
GB / T 28449から2012「情報セキュリティ技術情報システムのセキュリティ保護の評価手順ガイド」のメイン参照の評価に基づいて保護のレベルで、この標準は、保護レベルの評価の過程であり、そのアセスメントの準備、プログラミング、サイト評価、レポーティング、特にオブジェクトを識別するために、評価資産の評価の範囲を決定することを含む、不適合を特定し、リスク分析と評価を含む角度の評価を説明したプロセス・タスクは、整流意見を前方に置きます。
図2及びその他の事業活動セキュリティアセスメント
以上の説明から、それは共通である特定の局面においてなど、セキュリティ上のリスク評価と評価を見ることができますが存在するが、多くの違いがあります。
第二に、そのような保険リスクアセスメントと差動分析の評価として
、両方の実施のためのさまざまな方法およびガイドラインの
リスク評価手法を確立するために実装する前に、リスク評価、リスク評価基準、影響評価のガイドラインとリスク許容基準、及びそのセキュリティアセスメント評価方法を確立する必要性についてGB / T 28449-2012は詳細な仕様を持っているので、ガイドラインは、定義する必要はありません。このようにかかわらず、最終的な整流のリスク分析とセキュリティアセスメント評価にして唯一のエントリの結論として、評価結果など。
範囲及び境界異なる定義両方
両方の境界の方向と実装の決定方法では、異なるに従って、全ての第一の範囲を評価し、リスク評価の観点で考慮要素の境界は、複数の比較的複雑です。そして、他のセキュリティ評価は境界部分で定義されている比較的簡単ですが、境界は、システムの状況に応じてネットワーク測定システムによって決定されます。
図3は、の範囲と境界画定
直面する異なるオブジェクトを
GB / Tではオブジェクト内22239-2008資産は、物理環境、ホスト環境、ネットワーク環境、アプリケーション環境、今後のV2.0リリースの基本的な要件の保護のレベルでの物理的な環境を含む6つの部分のデータセキュリティおよびセキュリティ管理を含め、通信ネットワーク、コンピューティング環境、管理センター、セキュリティ管理5つの部分。「7.2.1査定確認」GB / Tで28449から2012章では、詳細に保険や部屋、ビジネスソフトウェア、ホスト・オペレーティング・システム、データベースシステム、ネットワーク機器、セキュリティ機器、管理文書を含む他のオブジェクトの評価について述べます。資産、ハードウェア資産、ソフトウェア資産、サービス資産、人員及びその他の資産を含む対象リスク評価情報資産、。このように、両方のオブジェクトに大きな違いがあります。
4等図セキュリティリスク評価と資産オブジェクトの評価は、
リスク評価資産の比率の範囲は、セキュリティ評価が広い大きく、図から分かります。いくつかの特定のプロジェクトでは、プロジェクトのリスク評価は、500以上までの資産を特定しました。
リスク分析と異なる方法の評価の両方の
リスク分析および評価方法の定性的および定量を含む多くあります。主に非適合性評価に行わにおけるリスク分析・評価保険の評価は「分類された評価報告書のテンプレート(試用版)」に基づき、リスク分析・評価を発見したテキスト(パブリック・プリンシパル・[2009]番号1487)が必要です。本体は、定性的な方法で評価し、状況のリスト発見されたセキュリティ上の問題で評価の評価だけでなく、リスク分析と評価を与えています。特定次の
5ポール評価図など、セキュリティリスク分析及び評価(実施例)
保護の関連規範と基準レベルに応じて、部分的コンプライアンスシステムにおいて本発明の方法リスク分析分析(グレード評価結果セキュリティレベル評価結果情報アイテムまたは不適合の結果の要約)情報システムのセキュリティへの潜在的影響。
プロセスの構成要素は
、高、中、低の可能性の範囲、セキュリティ脅威の可能性が利用される決定する)1;
2)の分析セキュリティ脅威が利用されている、情報セキュリティシステム(セキュリティサービス情報とシステムのセキュリティサービス)衝撃の程度、高、中、低の範囲の影響。
3)統合された1)および2)のような、高中、低リスク値の範囲の情報システムの割り当て、が直面するセキュリティリスクの結果。
リスク分析結果の情報システムの保護の程度と組み合わせが評価された4)、すなわち国家の安全、公の秩序、公衆の利益と市民、法人及びその他の組織の合法的権益引き起こすリスク
リスク評価が明示的に必要とされていない方法は、定性的なの使用でありますまたは定量的、GB / T 20984-2007でも、リスクアセスメントの方法の数を導入し、最終的には組織やリスクアセスメントチームは、実際の状況の定性的または定量的、またはその両方の組み合わせを使用推奨。
どちらも、異なる結論が必要です
両方GB / T 20984から2007またはISO / IEC 27005リスク評価で:評価の結果に2011必要とされていないが、リスク評価結果により集中です。保険や他の評価のための評価は、基本的な要件を満たすために、コンプライアンスや保護のレベルを評価した結果を表現するために、「行の」「アコード」を、使用して「いないラインで」によって明確な要件があると結論付けました。
異なるの結論の両方の取り扱い
リスク評価、リスク管理は4つのオプション、すなわち、リスク緩和、リスク回避、リスクの維持、リスクの移転を持っています。企業はあらゆるリスクの選択に4つのオプションのいずれかを採用する場合、リスクは治療計画に実装する必要があります。評価は、保険査定は、評価の結果に基づいて是正勧告を行う必要があり、評価は、改革実施案のプログラムのためのラインで採用されていないかそうでない組織自体によって決定され、是正計画を策定する必要がありませんよう、異なる及びその他の保険です。しかし、企業は、ラインアイテムのすべての情報システムように改革しなければならない基本的な要件の保護の完全なレベルを満たすために、または「ネットワーク保障法」を要求、企業は是正行動を処罰されることはありません。
レポートの作成
、シーンの実装が完了した後は、そのようなテンプレートの公式リリースのセキュリティアセスメントレポート、およびリスク評価レポートテンプレートなしまたは固定されたコンテンツの要件として、関連するレポートの作成に必要なすべての完全な情報を収集します。
第三に、勧告の実施
以上の説明から分析は、それが差の性質が大きいの両方で見ることができ、それはそれぞれ他の実施例から学ぶことができる、統合は、本実施形態に推奨されません。このような保険リスクアセスメントや評価など、それは個別に行われる必要がある、二つの異なる活動です。情報システムの評価の実施を確保することが推奨されており、リスク評価、セキュリティリスクアセスメント情報システムの実装、など借りることができたセキュリティ評価の実施など、セキュリティ上の問題。
ネットワークセキュリティ業界として魏ヌートは、最初のコンセプト提案した「白の環境を、」日付サービス、電力、石油、石油化学、鉄道輸送、インテリジェント製造、ガス、水、軍事、タバコ、石炭、化学工業、大学や研究機関へのセキュリティベンダー500人の顧客。産業安全制御システムと安全リスクアセスメントの構築に豊富な経験を持って、2018年にも親切である情報セキュリティサービスのリスク評価ISCCC 2つの資格を得ることである確かにリスクアセスメントの実施における魏ヌートの成果。、魏ヌート結果は、産業用制御システムのための彼らの専門技術サービスチームのおかげで、出発点として、2018年に達成されるであろう2019年には、ネットワークセキュリティの構築に貢献しています。