齐士忠
2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
官方采纳
齐士忠2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
信息系统安全风险评估过程的顺利进行需要一些相关的单位与人员的积极参与;而机构为支持信息系统安全风险评估的执行,必须在机构的管理体系内确立这些相关的角色。这些角色主要包括:
主管部门:责任是提出、制定并批准机构自身的信息安全风险管理策略,领导和组织本机构内的信息系统安全评估工作,以及基于机构内信息系统的特征和风险评估的结果,判断信息系统残余风险是否可接受,并确定信息系统是否可以投入运行,检查信息系统运行中产生的安全状态报告,定期或不定期地开展新的信息安全风险评估工作。
信息系统拥有者:需要制定安全计划并上报主管机关审批。信息系统拥有者有责任组织实施信息系统自评估工作,也要配合强制性检查评估或委托评估工作,并提供必要的文档等资源。如果情况需要,也必须向主管机关提出新一轮风险评估的建议,并改善信息安全防护措施以达到有效的控制信息安全风险。
信息系统承建者:一般是指开发商或者系统集成商。在风险评估过程中,信息系统承建者需要根据信息系统建设方案的风险评估结果来修正安全方案,使安全方案成本合理、积极有效,并减少在建设阶段引入的新风险,并确保安全组件产品得到了相关机构的认证。
信息系统安全评估机构:责任和义务是提供独立的信息系统安全风险评估,对信息系统中的安全防护措施进行评估,以判断这些安全防护措施在特定运行环境中的有效性,以及实现了这些措施后系统中存在的残余风险。评估机构还要提出调整建议。此外,信息系统安全评估机构的最大责任是为被评估单位保密。评估机构必须深入整个被评估单位的各个层面,了解单位的机构架构、关键流程、管理规程,包括一些系统配置的机密信息,如网络配置拓扑等。所以,风险评估结构的选择十分重要,保护风险评估中获得的敏感信息不被无关人员和单位获得,这是评估单位和被评估单位最关心的问题。
信息系统的关联机构:如后勤保障机构,人事管理机构,纪检监察机构等,需要遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险,协助风险评估机构确定评估边界,在风险评估中提供必要的资源和资料。
推荐文章
