風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)
1.什么是風(fēng)險(xiǎn)評(píng)估���?
風(fēng)險(xiǎn)評(píng)估是指�,在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒(méi)有結(jié)束)�,該事件給人們的生活、生命����、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即�,風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。
2.什么是信息安全風(fēng)險(xiǎn)評(píng)估��?
信息安全風(fēng)險(xiǎn)評(píng)估�����,對(duì)特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害進(jìn)行識(shí)別��、分析和評(píng)價(jià)的過(guò)程���。
是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)�����,貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程�����。
服務(wù)提供者通過(guò)對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)�����,系統(tǒng)地分析網(wǎng)絡(luò) 與信息系統(tǒng)所面臨的威脅及其存在的脆弱性�����,評(píng)估安全事件一旦發(fā)生可能造成的危害程度����,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施,防范和消除信息安全風(fēng)險(xiǎn)����,或?qū)L(fēng)險(xiǎn)控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)�����。
2.風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)如何評(píng)定?
信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度�。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格、服務(wù)管理能力�����、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力����。
服務(wù)人員的能力主要從掌握的知識(shí)�、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。對(duì)服務(wù)提供方的背景審查主要指客戶投訴�����、違法違紀(jì)行為等�����;服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的人員進(jìn)行必要的審查���。
資質(zhì)級(jí)別分為一級(jí)��、二級(jí)���、三級(jí)共三個(gè)級(jí)別����,其中一級(jí)最高�,三級(jí)最低。
4.信息安全與風(fēng)險(xiǎn)評(píng)估
從信息安全的角度來(lái)講�,風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)����、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估�����。作為風(fēng)險(xiǎn)管理的基礎(chǔ)���,風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑�����,屬于組織信息安全管理體系策劃的過(guò)程��。
信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范�,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅���、薄弱環(huán)節(jié)�����、已采取的防護(hù)措施等進(jìn)行分析����,判斷安全事件發(fā)生的概率以及可能造成的損失���,提出風(fēng)險(xiǎn)管理措施的過(guò)程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)����,就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。
6.風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)的重要性
企業(yè)對(duì)信息系統(tǒng)依賴性不斷增強(qiáng)���,而且存在無(wú)處不在的安全威脅和風(fēng)險(xiǎn)��,從組織自身業(yè)務(wù)的需要和法律法規(guī)的要求的角度考慮�����,更加需要增強(qiáng)對(duì)信息風(fēng)險(xiǎn)的管理����。
風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ),風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)控制和審核批準(zhǔn)活動(dòng)�����,使得組織能夠準(zhǔn)確“定位”風(fēng)險(xiǎn)管理的策略�、實(shí)踐和工具。從而將安全活動(dòng)的重點(diǎn)放在重要的問(wèn)題上����,選擇成本效益合理的、適用的安全對(duì)策�����。
風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全現(xiàn)狀�����,確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)�����,是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。
