YDT 2252-2011 网络与信息安全风险评估服务能力评估方法

更新时间：2023-09-06 21:16:16 大小：478K 上传用户：xuzhen1 查看TA发布的资源 标签：信息安全 下载积分：4分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

1范围本标准规定了网络与信息安全风险评估服务提供者应具备的服务能力要求，以及对信息安全风险评估服务提供者进行评价的要求. 本标准适用于对网络与信息安全风险评估服务提供者的服务能力评价，可作为信息系统所有者选择信息安全风险评估服务提供者的依据，及有关主管部门对信息安全风险评估服务提供者进行管理的技术性规范，也可为信息安全风险评估服务提供者改进自身服务能力提供参考。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件. GB/T 5271.8信息技术词汇第8部分：安全 GB/T 20984信息安全技术信息安全风险评估规范 3 术语和定义 GB/T 5271.8《信息技术词汇第8部分：安全》、GB/T 20984《信息安全技术信息安全风险评估规范》中的术语和定义及以下术语和定义适用于本文件。 3.1风险处置 Risk Treatment对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风险等。 3.2信息安全风险评估 Information Security Risk Assessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。 3.3信息安全R险it务提t Information Security Risk Assessment Service Provider具备一定的风险评估能力，按照合同或协议，为信息系统所有者提供信息安全风险评估服务的组织。 4概述 4.1 信息安全风险评估服务概述信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全，过程。风险评估服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。信息安全风险评估服务能力等级是衡量风险评估服务提供者服务能力的尺度。能力等级分为一级、二级、三级共三个等级，其中一级最高，三级最低。在本标准中，信息安全风险评估服务能力等级要求包含基本能力要求、过程能力要求和不同等级的特殊要求三个部分，详见第5章、第6章、第7章。 4.2 实施风险评估服务的原则 4.2.1 标准性原则信息系统安全风险评估应参照国际、国家、行业标准等进行实施。 4.2.2 核心业务原则信息安全风险评估应以被评估组织的关键业务为核心，涉及关键业务的相关网络与系统为评估的重点，重点包括基础网络、业务网络、操作系统、应用基础平台、业务应用平台等。