自从上一次的文章后,有三个月的时候没有对工作总结了;对,三个月的事件正好遇上了互联网的大裁员。。。。。。一直忙于找工作,现在总算安稳下来,根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指南。

一、背景

为了保障公司在工作开展的过程中所涉及到的敏感信息的安全性,让员工了解到信息安全工作的重要性,了解并遵守工作当中的信息安全要求,提高信息安全意识,防止因违规操作导致信息泄露的事件发生,不断完善公司安全管理。

二、范围

业务团队

三、评估目标

  1. 通过开展信息安全风险评估,发现业务团队当前工作过程中存在的信息安全风险,提出改进意见,并跟踪改进,持续收敛信息安全风险;

  2. 让员工了解工作当中遵守信息安全要求的重要性,提升安全意识。

四、工作思路

  1. 【资产识别】

    1. 通过发放资产表收集,包括(数据、软件、硬件、系统、服务、人员)。

    2. 被审计部门的资产,确定被审计部门现在有什么?用什么?怎么用?输出被审计部门资产表。

  2. 【风险识别】

    1. 人为风险,包括操作风险、意识风险、办公行为等。

    2. 安全风险,包括密码管理,访问控制、数据管理、操作日志。

  3. 【脆弱性识别】

    1. 管理脆弱性:访谈、收集管理制度。

    2. 技术脆弱性:软硬件安全配置。

  4. 【已有的安全措施】

    1. 预防措施:入侵检测、故障检测。

    2. 保护措施:发生事件后可以降低损失或降低风险的措施。

  5. 【风险分析】

    1. 利用CIA机密性、完整性、可用性计算风险值,形成风险汇总表。

五、实现方法

  1. 信息安全风险评估:通过开展信息安全风险评估,识别业务工作开展过程中的信息安全风险,汇总风险,针对风险提出改进建议,并逐步收敛风险;

  2. 风险整改跟踪:通过开展信息安全跟踪审计,确定审计所发现问题是否得到收敛。

六、实现方式拆解

主要通过开展信息安全风险评估的方式,对公司内主要业务部门进行信息安全审查,通过了解业务工作脉络,分析业务资产,确定处理情况,应该如何进行处理进行分析,审查工作主要流程以及工作流程中涉及到安全的关键点,来发现问题,收敛信息安全问题。

1. 两个方向

实现方式根据方向不同,分为两个大方向,管理方向与技术方向。

管理方向,指的是基于国际标准化组织ISO27001标准内容以及基于业务流程脉络对业务团队的风险进行评估。

技术方向,指的是基于网络安全基线,网络安全技术要求,对业务团队技术层面的评估,确认业务团队技术层面是否满足安全需求,或着目前团队中使用哪种方式来保障业务的安全。

2. 三个阶段

信息安全风险评估主要分为三个阶段,准备阶段、实施阶段、报告阶段。

a. 准备阶段

用以明确评估范围、评估目标、风险评估资产表资料收集、制定访谈计划、制定访谈过程内容、确定风险评估方法。

b. 实施阶段

用以明确工作思路、开展实际风险评估工作,基于准备阶段的工作表以及收集的自查你内容,收集不符合要求的风险评估证据,识别人为风险和信息安全风险,对发现的风险进行风险分析,识别技术层面、管理层面的脆弱性。

c. 报告阶段

在完成实际的风险评估实施过程后,基于获取的资料编写风险评估报告以及风险汇总表,根据风险的评分给风险进行排序,并给出一定的解决建议。

3. 工作总结

最终的工作结束阶段,工作总结少不了,需要对风险评估的整体过程进行总结,包括资料整理,经验教训总结,工作缺失等明确。

———————————————————————————————————————————

仅限个人工作总结及共享使用,若有不足,欢迎批评指正。

【信息安全】信息安全风险评估-实践指南相关推荐

  1. 个人信息安全影响评估指南_发布 | 网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南...

    关于发布<网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南>的通知 信安秘字[2020] 40号 各有关单位: 为落实<网络安全法>相关要求,围绕中 ...

  2. 《防患未然:实施情报先导的信息安全方法与实践》——3.3 攻击剖析

    本节书摘来自华章计算机<防患未然:实施情报先导的信息安全方法与实践>一书中的第3章,第3.3节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区" ...

  3. 《防患未然:实施情报先导的信息安全方法与实践》——2.8 小结

    本节书摘来自华章计算机<防患未然:实施情报先导的信息安全方法与实践>一书中的第2章,第2.8节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区" ...

  4. 计算机网络信息安全理论与实践教程-蒋建春

    计算机网络信息安全理论与实践教程 作 者:蒋建春 出版社: 西安电子科技大学出版社 出版时间: 2005 内容简介 本书是全国信息技术水平考试"计算机网络信息安全高级技术证书"考试 ...

  5. 信息安全原理与实践(第2版) [Mark Stamp 著][张戈 译] PDF完整版

    <信息安全原理与实践(第2版)> 原书名:Information Security: Principles and Practice, 2nd Edition 作者: (美)Mark St ...

  6. 《防患未然:实施情报先导的信息安全方法与实践》——2.7 古往今来的情报...

    本节书摘来自华章计算机<防患未然:实施情报先导的信息安全方法与实践>一书中的第2章,第2.7节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区" ...

  7. 赛宁首创革新赛制助力人才培养 | 第十六届全国大学生信息安全竞赛-创新实践能力赛全面启动!

    ​​为积极响应国家网络空间安全人才战略,加快攻防兼备创新人才培养步伐,实现以赛促学.以赛促教.以赛促用,推动网络空间安全人才培养和产学研用生态发展,由国防科技大学与中国科学技术大学联合承办的第十六届全 ...

  8. 【赠书】《ATT&CK框架实践指南》

    在网络安全领域,攻击者始终拥有取之不竭.用之不尽的网络弹药,可以对组织机构随意发起攻击:而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击.基于这 ...

  9. 《数据安全能力成熟度模型》实践指南02:数据采集管理

    2019年8月30日,<信息安全技术数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布, ...

最新文章

  1. linux内核 arm交叉编译
  2. IDEA创建mavenWeb项目笔记
  3. ros重置后地址_从零开始丨INDEMIND双目惯性模组ROS平台下实时ORB-SLAM记录教程
  4. NYOJ101 - 两点距离
  5. java applog_个人app如何收集用户日志
  6. open_table与opened_table
  7. [LOJ6198]谢特
  8. JDON 论坛上的NETTY贴
  9. dm8127 A8 yuv420sp 送入到videoM3编码--已经解决
  10. 大疆A型板使用经验分享(八)——FreeRTOS操作系统的使用
  11. 计算机术语bootstrap,Bootstrap及jackknife刀切法中文讲义.pdf
  12. 《薛兆丰经济学讲义》的118个思考题
  13. 「Jetpack - Paging3使用」
  14. 鸟哥的Linux私房菜——第十章
  15. 岗位认识---算法工程师、数据分析
  16. 【身份证识别】基于形态学实现ID号码识别系统matlab源码含GUI
  17. 第二届2011年国信蓝点杯软件设计大赛预赛的试题4
  18. Linux下Makefile的安装以及使用
  19. SSM框架整合所需相关jra包的maven地址
  20. 【TypeScript】TypeScript数据类型(上篇)

热门文章

  1. pythonapp推荐_初学python编程,有哪些不错的软件值得一用?
  2. windows xp 安装python3
  3. python的开源库是什么_python开源库列表
  4. Pycharm 金融Python实战二:用Python编写一个金融计算器——编写函数 调用命令 实例年金现值 利率换算 净现值法 投资回报期 内部收益率及其法则(带程序和结果)
  5. NovAtel 卫星接收机 718D 数据手册简介
  6. 20 虚幻4【UE4】场景中模型高亮轮廓
  7. linux中as命令,Linux as 命令 command not found as 命令详解 as 命令未找到 as 命令安装 - CommandNotFound ⚡️ 坑否...
  8. 自动语音播报WinCC报警消息
  9. 电商数据抓取的几种方式分享-开发平台接口、网络爬虫数据、数据挖掘
  10. 一款适合IT团队的在线API文档、技术文档工具-showdoc介绍