(一)定义
针对网络系统所存在的各种风险,给出具体风险控制建议
(二)目标
降低网络系统安全风险
(三)风险计划
对不可接受的相关风险,应根据导致该风险脆弱性制定风险处理计划
风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等
(四)安全措施选择(管理+技术)
参照信息安全相关标准进行
(五)网络安全风险管控措施
- 制订明确安全策略
- 建立安全组织
- 实施网络资产分类控制
- 加强人员安全管理
- 保证物理实体和环境安全
- 加强安全通信运行
- 采取访问控制机制
- 进行安全系统开发与维护
- 保证业务持续运行
- 遵循法律法规、安全目标一致性检查
(六)安全措施再评估
为确保安全措施有效性,通过再评估判断实施安全措施后,风险是否已经降低到可接受水平。
- 残余风险评估可按照风险评估流程实施,也可做适当裁减
- 安全措施实施以减少脆弱性或降低安全事件发生可能性为目标。
- 残余风险评估从脆弱性评估开始,在对照安全措施实施前后脆弱性状况后,再次计算风险值大小。某些风险可能在选择适当安全措施后,残余风险结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施