在信息系統上線階段,由于部分機山事構僅注重系統功能(néng)和性能(néng)測試煙土,對(duì)安全方面(miàn)沒司文(méi)有進(jìn)行安全評估兒笑測試,導緻信息系統帶著(zhe)安全風險上線部署運行,給後(hòu)期運維和機站業構業務開(kāi)展帶來風險。因此,目前國是什(guó)内重要行業、重要企業和機構的信息系統時是上線時(shí),有關監管機構以及企業内的IT部門,都(關術dōu)要求進(jìn)行上線前的安全評估,通過(guò)後(hòu)才能(動那néng)部署運行。
在信息系統運行階段,各類機構中也存在著(zhe)大量信息老老系統及其賴以運行的基礎網絡、處理機對的數據和信息,由于其可能(néng)存在的黑人技術漏洞和脆弱性,以及信息安全管理中潛在的薄弱環節,從而導緻不同鐘知程度的信息安全風險。引起(qǐ)機構民從業務風險和聲譽的降低。因此,機北訊構需要定期進(jìn)行信息安全風險評估,并及時(shí)開(kā拍道i)展風險處置。
安全評估是信息系統安全的基礎性工作。它是傳統的風險理論和方法在風城信息系統中的運用,能(néng)夠科學中男(xué)地分析和理解信息與信息系統在保密性、完整性、可用性自呢等方面(miàn)所面(miàn)臨的風險,個場并在風險的減少、轉移和規避等風險控制方法之間做出決策的過(guò)程件拿。
安全評估將(jiāng)導出信息系統的安全需求。持續的訊房安全評估工作成(chéng)爲檢查信息系統本身安全讀劇保密狀況的有力手段,并通過(guò)行政手段對討現(duì)信息系統産生積極影響,促進(jìn)企業加強信息安全建設。
《信息安全技術 信息安全風險評估方法》
GB/T 31509-2015《信息安全技術信息安全風險評估實施指南用志》
《信息系統資産賦值表》《信息資産威脅列表》《信息資産脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風險評估報告》《信息安全風險處置計劃》
新建信息系統上線時(shí),需了解安全狀态是否符合預期;
需要第三方評估報告證明自身安全建設有效性;
需要對(duì)信息系統安全水平進(jìn)行專家診斷,識别梳線亮理信息資産、了解安全現狀和風險、與主流個靜通用标準、先進(jìn)安全技術是否具有差距性、獲得安全風險規避措施建議快車。
此處放标題
内容暫無