风险评估

信息安全中的等级保护和风险评估的区别

       今天被人问到信息安全中的等级保护和风险评估的区别在什么地方。下午在回来的火车上,一没有美女相伴,也没有传说中的什么艳遇,基于很无聊等各种原因,就有了这篇充数的文章。纯属拙见,有不妥之处还望斧正。

       可以简单的理解为等保是标准或体系,评估一种是手段。

       等保其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护 ,而风险评估是帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。

» 阅读全文

关键词: 风险评估 , 等保 , 信息安全

信息安全风险评估项目工序与流程

by amxku
2009-01-07
http://www.luoq.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!

一、项目启动
二、确定工作范围
三、制定整体实施计划
四、管理评估阶段
五、技术评估阶段
六、数据整理
七、项目验收

» 阅读全文

关键词: 流程 , 风险评估 , 信息安全

风险评估杂谈

ENGEE / amxku_at_msn.com

我个人觉得作为一个优秀的服务团队必须具备如下的一下基本要求也是我们尽量要给用户展示的实力。

1 、需要先进的方法论
信息安全风险评估基础是风险量化所有的计算都是数学模型,所以风险评估的方法论就显得尤为重要了再好的团队。如果你的方法论错了,那你拥有在先进的技术,其结果一定是错误的。作为一个专业的安全服务公司你必须要有自己明确的风险评估的方法论,并且提出他的合理性。通俗的讲,就是风险是如何构成,影响风险的要素是什么,我们怎么来取值 最后如何计算等等。如果你能清楚的给用户讲明白一枚银币仍上天空后,所有能影响他掉落的各种因素,并有准确的计算方式那么你即时你告诉用户,这枚硬币仍上去的一刹那我们就已经清楚的知道他落下来后是人头还是字。我相信用户也会被你折服的。否则你就是在扯蛋。

» 阅读全文

关键词: 专业 , 方法论 , 杂谈 , 风险评估 , 原创 , 安全