企业视频展播,请点击播放视频作者:多面魔方(北京)技术服务有限公司
怎么开展风险评估
自评估
是由被评估信息系统的拥有者发起,依靠自身的力量参照法规与标准,对其自身的信息系统进行的风险评估活动。
检查评估
检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,
第三方安全评估公司
企业视频展播,请点击播放
视频作者:多面魔方(北京)技术服务有限公司
怎么开展风险评估
自评估
是由被评估信息系统的拥有者发起,依靠自身的力量参照法规与标准,对其自身的信息系统进行的风险评估活动。
检查评估
检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。
委托评估
是由被评估信息系统的拥有者发起,委托安全服务机构,参照法规与标准,对其维护的信息系统进行的风险评估活动。
网络安全风险评估的依据是什么
风险评估工作主要遵循以下评估依据,并作为评估工作实施的指导文件,部分评估内容将参考或借鉴指导文件内容。
1) 《人民共和国网络安全法》
2) 《网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》(国信办[2006]5 号)
3) 《信息安全技术 信息安全风险评估规范》 (GB/T 20984-2007)
4) 《信息安全技术 信息安全风险评估实施指南》 (GB/T 31509-2015)
5) 《信息安全技术 信息安全事件分类分级指南》 (GB/Z 20986-2007)
6) 《计算机场地通用规范》 (GB/T 2887-2011)
7) 《信息技术 安全技术 信息安全控制实践指南》 (GB/T 22081-2016)
8) 《信息技术 安全技术 信息安全风险管理》 (GB/T 31722-2015)
9) 《信息安全技术 数据库管理系统安全技术要求》 (GB/T 20273-2019)
10) 《信息安全技术 网络基础安全技术要求》 (GB/T 20270-2006)
11) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2006)
12) 《信息安全技术 网络安全等级保护测评要求》 (GB/T 28448-2019)
13) 《信息技术 安全技术 信息安全管理体系要求》 (ISO/IEC 27001:2013)
14) 《信息技术 安全技术 信息安全风险管理》 (ISO/IEC 27005:2018)
15) 《信息技术安全评估准则》 (ISO/IEC 15408)
什么是威胁评估
