信息安全风险评估费用 1. 信息安全风险评估的周期 信息安全风险评估没有确定的时间周期,一般两年一次进行定期的评估,但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息安全事故等情况下应进行风险评估。 此外,对系统规划、扩建时也需要进行风险评估,为安全需求、安全策略的制定提供依据。 2. 信息安全风险评估的收费标准 根据评估对象的不同而不同。风险评估的对象可以是:单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主要依据以下几个方面进行核算: ➢ 网络规模 ➢ 联网单位或客户端抽样比例 ➢ 被评估系统的多少 ➢ 被评估信息设备的多少 ➢ 被评估的组织范围大小 3. 信息安全风险评估的政策依据及标准依据 国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)将信息安全风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地,以及银行、税务、电力三个行业进行试点,根据试点经验,各省市建立信息安全风险评估管理制度。 ➢ GB/T 20984-2007《信息安全技术信息安全风险评估规范》 ➢ GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》 ➢ GB 17859-1999《计算机信息系统安全保护等级划分准则》 ➢ GB/T 19716-2005《信息技术 信息安全管理适用规则》 ➢ GB/T22080-2008《信息技术安全技术信息安全管理体系要求》 ➢ GB/T22081-2008《信息技术安全技术信息安全管理实用规则》 ➢ GB/T 20274《信息系统安全保障评估框架》 ➢ 国信办标准草案《信息安全风险评估指南》 ➢ 国信办标准草案《信息安全风险管理指南》 ➢ NIST SP800-30 《Risk Management Guide for Information Technology Systems》 本文来源:https://www.wddqw.com/doc/cc415cd850e2524de5187e67.html