风险评估工作流程图完整版
2022-10-10 11:51:37 1 举报AI智能生成
风险评估工作流程图
作者其他创作
大纲/内容
参考标准及依据
国外标准
NIST SP800-26 《Security Self-Assessment Guide for Information Technology Systems》
NIST SP800-30 《Risk Management Guide for Information Technolog Systems》
OCTAVE:Operationally Critical Threat,Asset,and Vulnerability Evaluation Framework
IS0/IEC 17799:2000《信息技术一信息安全管理实施细则)
IS0/IEC 27001:2005《信息技术一信息安金管理实施规范)
AS/NZS 4360:1999 《风险管理》
IS0/IECTR13335《信息技术安全管理指南》
国内标准
GB/T20984-2007《信愿安全技术信是安全风险评估规范》
GB/T31509-2015《信息安全技术信息安全风险评估实施指南》
GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》
GB/T22239-2019《信息安全技术网0安全等级保护基本要求》
评估准备
确定评估目标
确定评估范围
组建评估团队
领导小组
资深安全顾问
项目主管或负责人
资产识别小组
威肋识别小组
脆弱性识别小组
风险分析小组
应急响应小组
工作计划
评估方案
评估实施
系统调研
资产识别
重要资产确认及赋值
CA三性赋值
威助识别
脆弱性识别
主机层扫横
应用层扫描
渗透测试
基线核查
已有安全措施确认
风险分析
风险分析方法
风险等级划分
风险统计
风险结果处理
不可接受结果处理计划
专家评审
工作总结
发现的问题及建议
评估工作的改进及优化
过程文档及材料
风险评估计划
风险评估方案
风险评估报告
风险评估总结
风险评估会议纪要(可选】
管理调研表(问卷调查或访谈记录)
技术调研表(问卷调查或访谈记录】
资产识别表
重要资产确认及赋值
CA三性赋值
脆弱性识别表
威胁识别表
主机层扫描报告
安全基线文档
安全设备安全基线表
网络设备安全基线表
服务器安全基线表
致据库安全基线表
渗透测试报告
应用层扫描报告
资产风险值表
已有安全措施风险表
不可接受风验表
不可接受风险处理计划表
0 条评论
下一页
