|
|
|
|
|
|
自2017年6月1日网络安全法正式施行至今,针对网络安全法相关的解读层出不穷,并由此衍生了一些工作事项,其中针对关键信息基础设施(以下简称“CII”)的评估就是一项广大企业关注的内容,安言咨询特别针对CII风险评估的要求进行了梳理,具体如下: CII的提出背景 2016年11月7日全国人民代表大会常务委员会正式发布《中华人民共和国网络安全法》(以下简称“网络安全法”),2017年6月1日起施行。网络安全法中首次提出了关CII的概念,网络安全法的第二节针对CII的运行安全提出了相关要求。 CII的定义 网络安全法第三十一条明确定义了可能属于CII的相关行业和领域,同时还明确了CII遭到破坏、丧失功能或数据泄漏可能产生的影响。 原文条款如下: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 针对CII的风险评估 网络安全法第三十八条明确要求关键信息基础设施的运营者应当自行或者委托网...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。 一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。 一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。 一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平...
通过开展信息安全风险审计及合规检查,通过了解企业信息安全管理现状,面临的外部风险,同时结合企业需要满足的外部合规要求开展信息安全专项审计或合规检查,揭示企业面临的信息安全及合规风险,最终出具信息安全风险审计报告或者合规检查报告。确保企业能够客观知晓自身面临的各类风险,并未后续改进措施的制定和推动落地提供参考。 信息安全风险审计关注要点 安言咨询在开展企业信息安全风险审计时,会重点关注企业内部针对信息系统的一般控制和应用控制。两大部分审计关注内容如下图所示: 在一般控制审计部分,主要关注通用类的信息安全风险,包括组织架构、岗位职责、供应商管理、基础设施安全、业务连续性、项目安全风险管理、网络安全等方面; 在应用控制审计部分,主要关注针对特定信息系统的不同风险,包括业务相关风险跟踪、输入输出控制、信息系统性能、数据安全、代码安全、系统自身的特定风险; 信息安全风险审计工作过程 信息安全风险审计工作过程可分为审计准备、审计实施、报告编写、讨论定稿四大阶...
版权所有©上海安言信息技术有限公司 2014-2015
