安全风险评估方法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全风险评估方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
安全风险评估方法范文第1篇
【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
安全风险评估方法范文第2篇
摘要:本文通过深入分析一起典型海上救助拖带作业案例风险点,总结出一种海上救助拖带作业的风险评估方法,并结合工作实践,提出了此类救助风险评估注意事项和作业中较为实用的风险防范措施和方法。
关键词:救助 拖带 风险评估安全 防范
0引言
近年来,受极端恶劣天气的异常影响,海上安全形势的复杂多变,涉海突发事件呈现多发趋势,救助遇险种类呈现出多元化和复杂化的特点,救助船舶面临着更为复杂多样的风险和挑战。据统计2016全年,我国东海海域船舶因机械故障遇险出动救助次数为19起,占救助总量的13%,数量呈逐年上升趋势。此类救助常采取拖带救助方式,作业难度大、风险高。尤其拖救超大型船舶流程繁琐而复杂,风险控制要求高。因此对海上救助拖带作业风险进行深入的研究,作业前充分开展风险评估,采取相应的防范措施,对于保障此类救助作业的安全十分重要。
1典型案例
2017年1月23日深夜,满载钢材及合板某散货船(长189m 、宽32m、吃水12m、满载5.7万吨钢材和三合板)航行在中国沿海某水域,主机发生故障,现场风力7至8级,处于漂航状态,请求紧急救助。救助船接到救助指令后,立即组织实施作业风险评估,落实防范措施。24日上午,救助船抵达现场开始带缆,并起拖。主拖缆放至500m,拖缆共640m(其中30m龙须缆,110m短缆,500m主拖缆)。由于事发海域,水深、风大、涌高,并受黑潮流的严重影响,被拖船左右甩偏荡,为此,救助船采取降车、降速并及时调整航向,通知预险船操舵跟随救助船,以减小偏荡。24日下午,救助船掉头后,发现被拖船左右偏荡非常严重,偏荡幅度最大达180°,救助船分析当时流压态势,通过慢车、调整航向、协调遇险船操舵来控制,调整姿态,最终顺利抵达某港引水锚地,救援结束。
2 风险评估
2.1开展风险评估,首先要获取风险评估要素
上述典型案例中,救助船舶根据当时的天气海况、失去动力船舶的状况、救援的需求等,获取风险评估要素有以下几个方面:
(1)遇险船舶为满载钢材等货物的大型船舶,质量大,吃水深,救助作业中没有任何动力设备协助。拖带航行期间,无法配合救助船作业,容易产生大幅偏荡导致救助船操纵困难和断缆。
(2)遇险船船员缺乏救助作业经验和相关知识,需要救助船舶船员进行指导。
(3)到达目的地,没有其他船舶配合难以在狭窄水域或指定地点锚泊。
(4)风浪大,救助船舶摇晃剧烈,现场人员转运和实施相关救助作业风险较大。海况有进一步恶化趋势,将加剧救助作业的难度和风险。
(5)由于海况恶劣,救助船在作业中也可能发生意外,增加拖带救助作业的不确定性。
2.2通过分析、评估、判断,标明以上要素发生风险事件的可能性概率
通过评估,再标明出该风险要素发生的后果严重程度。风险等级可通过事故发生的可能性概率和事故的后果严重程度的乘积计算得出,即风险等级=可能性×严重性。
如得出风险等级为微小风险,一般无须采取任何行动方法措施;如得出风险等级为可容忍的风险,无须任何额外的控制措施,但可考虑增加具有成本效益的解决方法,或作一些改善,而无须付出额外的成本。需保持监控,确保在控制之中;如得出风险等级为中度风险,应采取行动降低风险,但所用成本应小心衡量,不可太高,同时应在限定时间内实施降低风险的措施;如得出风险等级为重大的风险,降低风险之前,不得开始工作,同时也可能需要为降低风险付出大量资源。若风险涉及进行中的工作,必须采取紧急防范行动;如得出风险等级为不可容忍的风险,降低风险之前,不论工作是否已经开始,都必须停止。
2.3 确定风险等级
救助作业风险评估救助船舶在实施救助作业前意识到作业存在的风险,并在本船的能力下采取相应措施后进行评估,判断作业安全是否可控,确定每一个工作过程风险等级,并采取相应的防范措施,只有在风险可控下船舶方可实施救助作业。但如果任一个工作过程风险等级为判定为重大风险,救助船舶可通过改进措施,对改进措施后的风险重新评估,如风险可控,作业方可实施。一旦以船舶的自身能力已无法控制作业安全风险,应立即向岸基指挥部门报告,由岸基指挥部门采取措施给予岸基支持,再次开展风险评估,确定降低和控制风险措施,如果岸基指挥部门评估风险不可控,救助作业应立即暂停或终止。风险评估流程图详见图2-1所示。
3拖航救助的风险防范
(1)针对本文典型案例,救助船舶制定了以下防范措施来降低风险等级
① 及时与遇险船舶进行沟通,了解其船舶主机设备的损坏情况。
② 将救助船将要执行的救助计划告知遇险船,使其了解救助工作的方法和步骤,便于配合。
③ 再次检查测试救助船相关设备情况,提高设备运行的可靠性,降低风险。
④ 落实人员到岗,细化工作步骤,落实安全措施。
⑤ 落实可能出现的应急情况下的应急预案。
⑥ 如有必要,选派合适人员登遇险船舶开展工作,便于沟通和现场作业指导。
⑦ 针对到达目的地后可能出现的失控情况,申请岸基支援,增加辅助拖轮协助作业。
(2)对于救助作业前期的风险评估、风险源的甄别和风险防范措施等,救助船和岸基指挥部门应在作业前应进行充分的确认措施落实情况,以达到对预知风险的可控。
(3)在执行救助大型船舶拖航任务时,还应充分考虑到主机功率及安全负荷,留足安全余量,避免主机长时间高负荷或超负荷运转,对机器和其他机械设备造成损伤。
(4)遇险船舶已接受大风浪考验且未危及安全的前提下,如气象海况好转,救助区域环境许可,应考虑选择恰当的时机实施救助,避免恶劣海况下的产生无谓的风险和损耗,但在等待过程中应做好充分的应急准备,如遇险人员应急接救准备等。
(5)作业期间还应加强作业船舶和现场指挥人员、协调人员、遇险船舶的沟通协调,以确保船舶实施救助或实战训练达到最佳的效果。救助船舶应避免盲从现场其他人员或岸基指挥人员的要求,要充分考虑自身安全,要预判好趋势的发展对救助作业和安全带来的困难,避免盲目作业,以免对自身和遇险对象造成更严重的伤害。
4救助评估作业注意事项
(1)评估要素一次救助作业过程应进行分段,细分工作过程、作业步骤和流程。例如,救助主机故障抛锚船可分为“航行抵达救助区域——带缆——启拖——拖航——指定地点抛锚解拖”等,应尽可能细分。
(2)可能存在风险应对每一分段的作业要素的风险分别进行评估,并尽可能列举每一段作业存在的所有风险。例如,指定地点被拖船抛锚解拖过程中可能存在的风险,如锚地抛锚船多,水域狭窄、富裕水深不足、顺流进入指定地点船队操控困难、主拖缆拖底损坏、被拖船抛锚后锚链倒拖走锚等。
(3)可能导致事故和健康危害对可能存在风险中的每一个不安全的风险进行评估可能造成的后果。例如,顺流进入指定地点船队操控困难存在的危害与抛锚船发生碰撞、无法顺水抛锚、无法锚地掉头等。
(4)降低和控制风险措施中应针对存在的风险和危害制定相应的措施进行控制和降低。例如:针对4.3中的例子,措施可采用控制船队船速,选择顶水进锚地,或者锚地外绕行顶水进入,或者锚地外缘开敞水域抛锚等。
(5)船舶在现有措施能够安全完成救助作业的情况下,事先救助作业风险评估应为可容忍风险和小风险,如评估为重大风险和不可容忍风险时,必须暂停或终止作业报岸基指挥部门。如本文典型案例中拖带航行期间产生了大幅偏荡,该风险极易导致救助船操纵困难和断缆,为重大风险,救助船舶采取了慢车、调整航向等措施控制,有效地避免了断裂事故的发生。
(6)在评估满足作业条件后方可开展救助作业,但一旦船长认为现场救助作业可能危及船舶、人员或海洋环境时,应立即暂停或终止救助作业,并向岸基指挥部门报告,由指挥部门制定措施再次评估,直到可行,一旦不可行,应终止作业。
(7)岸基指挥部门评估结果应及时传递至救助船舶,为其作业提供依据,救助船舶应严格落实好岸基指挥部门提供的措施,同时应把落实的措施记录于《航海日志》中。
安全风险评估方法范文第3篇
本文依据科学性、系统性、全面性、易评价性、独立性等指标确定原则,并在在综述国内外相关研究文献的基础上,通过对国内大型矿务集团煤矿安全生产的运行实际,从人力资源配置、安全规章制度及执行、作业环境、地测及防治水、一通三防、防止煤与瓦斯突出、采掘系统、机运系统、煤矿固有风险等9个方面、101个指标,构建煤矿安全生产风险评价指标体系。
指标1:人力资源配置。主要侧重于煤矿安全生产管理人员配置情况、煤矿安全生产管理人员是否经过培训考核并取得煤矿安全技术资格证、特种作业人员按要求参加相关资格培训,并取得操作资格证书、作业人员日常安全培训及考核、新工人的比例;
指标2:安全规章制度及执行。主要包括:矿井“五证一照”是否齐全、矿井是否建立完善的安全管理制度、领导跟班制度是否严格执行、矿井是否建立安全生产责任制、煤矿企业是否编制年度灾害预防和处理计划、安全投入是否符合要求、安全生产隐患及整改情况、安全生产机构设置是否完备、矿井安全文化建设情况。
指标3:作业环境。主要包括温度、照明、粉尘浓度、风速、噪声、有害气体。
指标4:地测及防治水。主要包括矿井基本矿图是否符合要求、地测部门所派发的相关通知单是否完备、主要泵房出口及矿井主要水仓设置是否符合要求、矿井是否配备与矿井涌水量相匹配的排水设施、矿井是否有完善的水文观测系统、矿井防治水基础资料是否完备、水文地质条件复杂矿井是否建立水闸门与水闸墙或安装排水能力不小于最大涌水量的潜水泵、防水煤柱的留设是否符合规定。
指标5:一通三防。主要包括矿井是否有独立的通风系统、风量供需比是否符合要求、矿井通风设备及仪表是否完好、矿井主要通风机装置外部漏风率是否符合要求并定期检测、矿井、采区通风能力能否满足生产需要、矿井有效风量率是否符合要求、高瓦斯、煤与瓦斯突出或易燃煤层采区是否设有专用回风巷、回风巷失修率是否符合要求、局部通风机的安装和使用是否符合规定,不发生循环风、采掘工作面和其他工作地点做到无瓦斯超限作业,无瓦斯聚集、每班检查次数符合规定,瓦斯检查员在指定地点交接班,无空班和漏检、停风区管理符合规范、瓦斯检查每日记录是否完好,每日是否及时上报矿长和矿技术负责人、是否建立地面永久抽放瓦斯系统或井下临时抽放瓦斯系统、瓦斯抽放系统应定期测定瓦斯流量、负压、浓度等参数、定期检查抽放系统并对抽放仪表进行校正、瓦斯抽放矿井,应按时完成抽放量计划、煤矿建立完善的爆破材料管理制度、严格执行“一炮三检”和“三人连锁”放炮制度、高瓦斯、突出矿井采掘工作面放炮必须执行停电制度、实行爆破作业的采掘工作面必须实行湿式打眼,放炮使用水泡泥,放炮前后要洒水和冲洗巷帮,掘进工作面实行放炮喷雾、矿井按《规程》规定安装安全监测监控设备并运行完好、安全监测监控设备定期调校和测试、监测监控记录完好,管理规范有序、矿井是否建立防灭火系统、开采自燃煤层的矿井,是否定期开展火灾的预测预防工作、矿井是否存在CO超限作业、煤层开采前是否注水、隔爆设施安装的地点、数量、水量及安装质量符合要求、防尘制度是否健全、记录完好。
指标6:防止煤与瓦斯突出。主要包括在突出煤层进行采掘作业的工作面,须进行预测预报、突出煤层的采掘工作面应根据预测预报的结果,按照批准的防止突出措施进行作业、采取防突措施后的工作面,应进行效果检验、突出煤层作业的采掘工作面,须按照《规程》要求有经批准的防突措施、开采突出煤层的矿井,应有实践经验的专业技术人员组成专门的防突机构,有专门的防突施工队伍、井巷揭穿突出煤层,必须采取经报企业技术负责人审批的安全技术措施,并探测突出煤层的有关参数。
指标7:采掘系统。主要包括矿井采掘关系是否正常,三个煤量可采期是否符合规定、设备是否定期检修并记录完好、是否对支护质量及顶板进行动态监测、能否认真开展班评估工作、工作面地质预报、工作面控顶范围内,顶底板移近量是否符合要求、是否存在迎头空帮空顶、留煤顶开采是否符合规程、安全出口设置是否符合要求、支架顶梁与顶板设置是否符合要求、井下图板悬挂布置是否合理,便于作业人员观看、采掘安全设施是否齐全、有效,并定期校正、采掘设备安装与拆除流程化、规范化。
指标8:机运系统。主要包括机电设备是否具备煤安认证标志、矿井机电设备是否运行完好、小型电器是否运行完好、电缆吊挂是否运行完好、是否能够完成集团公司(局)下达的大修计划、矿井是否有应急提升预案、地面供电系统能否满足生产要求:矿井双电源,分列运行;主要设备双回路、井下供电系统是否符合要求、电气设备预防性实验、运输巷道断面是否符合《规程》要求、运输线路轨型选用是否符合《规程》要求、轨道运输设备是否运行完好、信号系统设置是否合理并运行完好、安装机车是否安装通讯装置、是否定期对井下各种车辆及防护装置进行测试和实验、机车是否规范年审。
指标9:煤矿固有风险。主要包括矿井平均断层落差、单位面积断层条数、煤层倾角、煤层厚度变异系数、顶底板管理难易程度、矿井正常涌水量、煤层自然发火期、平均瓦斯涌出量。
基于ANP的煤矿安全生产风险评价指标权重确定
在走访相关煤矿安全专家的基础上,对所构建指标的二级指标之间的相互影响关系进行了梳理,考虑到问卷及处理的复杂性,忽略了指标体系的三级及四级指标间的影响关系。根据本文所构建的煤矿安全生产风险评价指标体系及专家对各指标关联关系的打分表,并运用SuperDecision(SD)软件对各评价指标的权重进行确定,限于篇幅所限,本文仅列出第2级指标的权重。通过检验结果可以看出,判断矩阵均通过一致性检验。从二级指标的权重结果可以看出,安全规章制度的制定及执行所占比重较大,达到0.3928;其次为人力资源配置,达到0.1681;一通三防、防止煤与瓦斯突出和地测及防治水分别列在第三、第四和第五位,其权重分别为:0.1208、0.1166和0.1059;作业环境、采掘系统、机运系统和作业环境对煤矿安全生产的影响相对较小。
研究结论
安全风险评估方法范文第4篇
关键词 雷击安全 风险评估 快捷方法 操作实践
中图分类号:P429 文献标识码:A
雷电灾害是“联合国国际减灾十年”公布最严重十种自然灾害之一,我国每年因雷电灾害造成的经济损失高达50―100亿人民币,并有逐年递增的趋势,防雷减灾工作越来越受到各级政府和全社会的高度关注。雷击风险评估就是为安全、合理、经济的选择雷电防护措施提供依据,是科学防雷和全面防雷的重要工作,目前我国已有了一套雷击风险评估体系,我所正是在多年从事雷击风险评估工作经验的基础上,按照安全可靠、技术先进、经济合理的原则总结出此方法。
1风险评估概述
风险评估就是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当量度风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程都可以被量化了。简单地说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
2雷击风险评估的理论基础
2.1雷击风险评估的基准法(IT Baseline)
适用范围:使用广泛的基准法(IT Baseline)。对保密性、完整性及可用性为一般要求。在基础设施、组织、人员、技术及权宜安排方面可采取标准安全措施。包括建筑物的深度鉴定和估价,对这些建筑物的威胁评估和设施脆弱性评估。结果用于评估风险及选择合理的安全设施。
2.2非正式的雷击风险评估方法(FRAP,OCTAVE-S)
详细雷击风险评估分析的简化方法。评估前期的预备工作,协议讨论,风险分析报告撰写,总结结论。建立基于评估的技术档案,识别技术设施脆弱性;开发安全策略和计划。
3雷击风险评估的操作和优点
3.1操作
(1)工具:雷击风险评估操作中必须的设备和设施;(2)雷击风险趋势调查分析;(3)题库:雷击风险评估中必须运用的计算公式输入;(4)涉及内容:包括项目、设施的系统设计、环境、气候条件等;(5)雷击风险概况:包括国际、国内的评估方法、标准等;(6)项目所涉及的基础设施安全;(7)应用程序安全:包括商业运作的保密措施等;(8)操作安全:包括项目进行中的雷击保护措施等;(9)人员安全:主要涉及项目在进行中和竣工的雷击防护措施。
3.2优点
本雷击风险评估的操作优点主要是具有:标准化;权威性。
4雷击风险评估实践(典型事例)
4.1操作
(1)已知项目的雷击安全调查,对现场进行取证;(2)雷击风险威胁的监控;(3)潜在的雷击风险分析。
4.2从目标看评估量度
(1)确定最基本的防雷安全基线,确保当前不存在高雷击风险;(2)为建立动态雷击安全防护和纵深防御提出思路;(3)为配置防雷安全管理和人员管理提出思路;(4)指导未来五至十年内的防雷安全发展。
5信息系统风险评估
5.1确认阶段
(1)召开项目启动会、甲方介绍信息系统业务要求;(2)雷击风险评估方法确认、评估详细的实施计划;(3)签订雷击风险评估协议;(4)绘制文档。
5.2雷击风险评估现场操作
(1)雷击风险趋势调查、投资额、业务流程;(2)事件调查访谈、监控;(3)甲方的业务要求取证;(4)现场测试数据。
5.3报告阶段
(1)雷击安全风险现状报告整理汇总;(2)雷击安全风险分析;(3)信息系统技术风险综合分析、业务风险关联分析;(4)雷击安全风险解决方案、阶段总结;(5)正式提交雷击安全风险评估报告。
雷击风险评估是个综合、复杂的工程,它以大量繁杂的数据资料为基础,既包括项目原始数据,也包括相当数量现场检测、勘察、核实的数据来编制雷击安全风险解决方案,因此,对于其中的结论、观点,欢迎各方面专家指正,并进行研究、讨论。
在此应当声明的是,考虑到经济与技术结合的最大效益,国际标准和国内标准规定了防雷项目允许落闪频率和可接受的最大危险度,以上雷击安全风险评估操作方案和典型实例就是为了避免或减少雷击所造成的损失,评估中超出规范规定值的雷击损坏是可能存在的。
参考文献
[1] IEC61024-1.建筑物防雷[S].
[2] IEC61662.雷击损害风险的评估[S].
安全风险评估方法范文第5篇
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
