在信息系統上線階段,由于部分機構僅注重系統功能和性能測試,對安全方面沒有進行安全評估測試,導致信息系統帶著安全風險上線部署運行,給後期運維和機構業務開展帶來風險。因此,目前國內重要行業、重要企業和機構的信息系統上線時,有關監管機構以及企業內的IT部門,都要求進行上線前的安全評估,通過後才能部署運行。
在信息系統運行階段,各類機構中也存在著大量信息系統及其賴以運行的基礎網絡、處理的數據和信息,由于其可能存在的技術漏洞和脆弱性,以及信息安全管理中潛在的薄弱環節,從而導致不同程度的信息安全風險。引起機構業務風險和聲譽的降低。因此,機構需要定期進行信息安全風險評估,並及時開展風險處置。
安全評估是信息系統安全的基礎性工作。它是傳統的風險理論和方法在信息系統中的運用,能夠科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險,並在風險的減少、轉移和規避等風險控制方法之間做出決策的過程。
安全評估將導出信息系統的安全需求。持續的安全評估工作成為檢查信息系統本身安全保密狀況的有力手段,並通過行政手段對信息系統產生積極影響,促進企業加強信息安全建設。
《信息安全技術 信息安全風險評估方法》
GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》
《信息系統資產賦值表》《信息資產威脅列表》《信息資產脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風險評估報告》《信息安全風險處置計劃》
新建信息系統上線時,需了解安全狀態是否符合預期;
需要第三方評估報告證明自身安全建設有效性;
需要對信息系統安全水平進行專家診斷,識別梳理信息資產、了解安全現狀和風險、與主流通用標準、先進安全技術是否具有差距性、獲得安全風險規避措施建議。
此處放標題
內容暫無