信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。
通过科学的运用信息安全风险评估方法,常态化的开展电子政务系统关键业务系统的安全性评估,从风险管理角度,运用科学的方法和手段,系统地分析电子政务信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。可以有效的防范和降低关键业务信息系统的信息安全风险,将风险控制在可接受的水平,从而最大限度地提升电子政务关键业务信息系统的安全保障能力。
适用范围:
国家和地方政府部门、大型企事业单位。
政策依据:
《中华人民共和国网络安全法》第十七条国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
《国家电子政务工程建设项目管理暂行办法》(国家发改委令第55号)第三十一条要求“项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。”
评估标准:
GB/T 20984-2007《信息安全技术信息安全风险评估规范》
GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》
GB/T 20918-2007《信息技术软件生存周期过程风险管理》
GB/Z 24364-2009《信息安全技术信息安全风险管理指南》
GB/T 31722-2015《信息技术安全技术信息安全风险管理》
HS/T 28-2010《海关信息系统信息安全风险评估规范》
JR/T 0058-2010《保险信息安全风险评估指标体系规范》
MH/T 0040-2012《民用运输航空公司网络与信息系统风险评估规范》
DB44/T 2010-2017《云计算平台信息安全风险评估指南》
DB32/T 1439-2009《信息安全风险评估实施规范》
组织方式:
一般可由信息系统的主管部门或运营单位组织,委托第三方机构实施信息安全风险评估。
评价内容:
主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容,并在风险评估之后根据安全建议进行安全加固。下图是风险评估实施的流程:
对电子政务系统物理环境、网络、主机、应用以及安全管理等内容进行全面有效的评估,具体范围见下表:
结果利用:
凡与互联的其它参与者有关的情况,应该依据牵涉范围,及时交换或公布风险评估结果,以便有关联的单位尽早采取应对措施。随着政务系统整合互联互通的发展,信息系统相互依赖性增加,信息安全的相互共同责任越来越大,因此,风险评估有关的信息交流共享是必须的,这是互联互通的参与者相互负责人的体现,也是搞好安全防范工作的重要前提之一,符合所有参与者的共同利益。
东莞市东电检测技术有限公司(Donuan Dongdian Testing Service Co.,Ltd.简称“DDT”),是一家集检测、校准、检验、培训、认证为一体的综合性技术服务机构,可为**范围内为企业提供一站式解决方案。 DDT 2011年始创于广东省东莞市松山湖,隶属于电子科技大学广东电子信息工程研究院。 目前公司已建成:
1,环境可靠性实验室,
2,电磁兼容EMC实验室、
3,电气安全安规实验室、
4,射频通讯RF实验室、
5,汽车电子实验室、
6,能效实验室、
7,电池实验室、
8,化学实验室,
9.失效分析实验室,
10.智能家居家电实验室
11.灯具实验室
12.信息与网络安全实验室等等
其中设备配备来自瑞士EMC、德国美国等世界仪器厂商的测试设备和仪器,尤其在无线射频RF有的技术优势。 DDT依靠的技术团队、丰富的检测认证经验,并始终坚持以ISO17250实验室质量体系为指导,获得了中国合格评定认可(CNAS)、美国实验室认可协会A2LA、德国TUVRH的CBTL及CAP等机构认可的实验室,是美国UL、德国TUVRH 、英国ITS、美国FCC、挪威Nemko、日本C&S、JRL、TBL、 南非SABS等**机构授权合作的实验室,具有**公信力。 DDT作为**化、多元化的检测认证机构,成立11年,积累了许多客户比如,同各大品牌都有在合作:消费电子:哈曼音响、华为、小米、中兴、联想、TCL 、JBL音响、创维、海信;汽车电子主要跟博世、本田、丰田、三菱、、广汽、上汽、北京现代、理想汽车、小鹏汽车、蔚来汽车、江淮汽车,宁德时代,合创电子、德赛西威、华阳通用等。东电经合作的秉承 “公正、严谨的服务宗旨,以合作共赢的意愿,携手与客户共同发展,让客户的产品在短的时间内**相关认证,行销**。