风险评估总结由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“风险评估工作总结”。
风险评估总结
数理学院物理系11级3班 110220074 王祎明
从我这几天看到的一些网络安全实例及网络安全论坛相关帖子,评估被很多人认为是只是一种形式,不过是走走过场而已,对实际工作无任何效果。即使已经开展了网络信息安全风险评估的某些单位,评估工作也只是流于形式,仅仅是“为了评估而评估”,没能按照评估要求达到控制风险的最终目的。其实这种看法也司空见惯,毕竟评估本身不足为一项能够立即体现其价值的工作,有人认为与其将有限的财力,精力投入到评估中去,不如直接用于实际建设。这反映了部分人还没有深层次理解网络信息安全风险评估重要性。这时我们应该做的关键任务是:让用户真正理解并且认可我们的工作成绩。因此这阶段建议需要与用户进行深入细致的沟通(需要面对面交流,以达到最佳效果)。我的看法是,随着信息化的深入,信息网络已经逐渐成为各个行业的核心资产,与此同时政府,企业等的网络信息系统面临的安全问题也突显出来。信息系统是否稳定以及系统运行状态存在怎样的安全风险隐患成为备为关注的问题.而要真正回答这些问题。不能光凭借使用者的良好愿望和基本感觉,必须要有科学、客观和正确的技术评判。我认为通过对网络的信息安全风险进行客观有效的分析评估,依据评估结果为网络系统选择适当的安全措施,则是应对网络信息系统可能发生安全风险的关键一步
经过前期的学习,现在说起风险评估,我的脑海中首先浮现的是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。对于风险评估工作大致可以分为以下阶段: 资产评估(可以远程完成)系统和业务信息收集 资产列表 资产分类与赋值 资产报告
资产评估的内容并不复杂,在这部份工作中,我觉得重点在于与客户共同进行资产的分类及确定核心资产,对评估工作做一个权衡。因为只有明确资产并做好权衡后才能有效进行后续的威胁与弱点评估,否则容易导致事倍功半。威胁评估(本地完成)IDS部署搜集威胁源 收集并评估策略文档 BS7799顾问访谈 事件分析 威胁报告
由于威胁的界定存在多种标准,因此可以认为这一阶段应该比较难操作。经验要求比较高,我觉得应从威胁评估实例入手,通过访谈获取到较为完整的安全事件信息,能更能够清晰分析到问题的本质。弱点评估(本地完成)远程扫描 人工审计 渗透测试 弱点报告
弱点评估是一项纯技术操作,需要成熟的评估技能。风险分析和控制(可以远程完成)数据整理、入库及分析 安全现状报告 安全解决方案
当所有的现场工作结束,基础数据收集完毕后,就要对收集到的信息进行分析和挖掘,也有很多技巧。最终的风险分析需要看得清晰透彻,而且方案的表现形式要比较切合客户需求。解决方案就三个字:可操作。
风险投资总结
数理学院物理系级 3 班 110220074王祎明
中国GMP第七章《确认与验证》第一百三十八条:企业应当确定需要进行的确认或验证工作,以证明有关操作的关键要素能够得到有效控制。确认或验证的范围和程度应当经过风险评估来......
手术风险评估总结针对2015年我科手术风险评估制度执行情况总结如下:一、做的好的方面:1.我科定期对“手术风险评估制度”进行培训学习及考核;2.在上级医生的带领下〃我科对疑难......
船技部2015年风险评估报告2015年船技部在公司领导的大力支持下,部门人员按照公司体系文件的相关要求,在确保船舶安全的前提下,将船舶风险控制在有效的范围内。具体做法如下:1.根......
食品安全风险评估:指对食品、食品添加剂中生物性、化学性和物理性危害对人体健康可能造成的不良影响所进行的科学评估,包括危害识别、危害特征描述、暴露评估、风险特征描述......
风险评估一.单项选择题1.税务机关在对评估对象实施约谈过程中发生下列()情形,应直接转入评估处理环节。A.纳税人拒绝主管地税机关约谈建议或不能在约定的期限内履行约谈承诺的......
