电子政务信息安全风险评估

电子政务信息安全风险评估

服务价:

好评系数:

立即询价  电子政务信息安全风险评估

电子政务信息安全风险评估

      信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。

      通过科学的运用信息安全风险评估方法,常态化的开展电子政务系统关键业务系统的安全性评估,从风险管理角度,运用科学的方法和手段,系统地分析电子政务信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。可以有效的防范和降低关键业务信息系统的信息安全风险,将风险控制在可接受的水平,从而最大限度地提升电子政务关键业务信息系统的安全保障能力。

 

适用范围:

 

 

      国家和地方政府部门、大型企事业单位。


政策依据:

 

 

        《中华人民共和国网络安全法》第十七条国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

        《国家电子政务工程建设项目管理暂行办法》(国家发改委令第55号)第三十一条要求“项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。”

 

评估标准:

      GB/T 20984-2007《信息安全技术信息安全风险评估规范》

      GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》

      GB/T 20918-2007《信息技术软件生存周期过程风险管理》

      GB/Z 24364-2009《信息安全技术信息安全风险管理指南》

      GB/T 31722-2015《信息技术安全技术信息安全风险管理》

      HS/T 28-2010《海关信息系统信息安全风险评估规范》

      JR/T 0058-2010《保险信息安全风险评估指标体系规范》

      MH/T 0040-2012《民用运输航空公司网络与信息系统风险评估规范》

      DB44/T 2010-2017《云计算平台信息安全风险评估指南》

      DB32/T 1439-2009《信息安全风险评估实施规范》

 

组织方式:

一般可由信息系统的主管部门或运营单位组织,委托第三方机构实施信息安全风险评估。

 

 

评价内容:

      主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容,并在风险评估之后根据安全建议进行安全加固。下图是风险评估实施的流程:

 电子政务信息安全风险评估(图1)

 

 

        对电子政务系统物理环境、网络、主机、应用以及安全管理等内容进行全面有效的评估,具体范围见下表:

 电子政务信息安全风险评估(图2)

 

结果利用:

    凡与互联的其它参与者有关的情况,应该依据牵涉范围,及时交换或公布风险评估结果,以便有关联的单位尽早采取应对措施。随着政务系统整合互联互通的发展,信息系统相互依赖性增加,信息安全的相互共同责任越来越大,因此,风险评估有关的信息交流共享是必须的,这是互联互通的参与者相互负责人的体现,也是搞好安全防范工作的重要前提之一,符合所有参与者的共同利益。


请进
提交留言