风险评估的风险
电力系统在开展信息系统安全评估的初期阶段,出现过一些问题。有的用户单位没有与评估厂家签定保密协议,评估厂家拿着评估报告到处进行宣传,甚至有的地址还在上面,安全风险评估反而造成新的风险,即所谓“评估的风险”。
有的单位在进行安全风险评估过程中,造成应用系统停机,影响正常业务。主要是对在线系统进行漏洞扫描引起的。
有的单位没有进行日常的自我安全评估,完全依赖外部的安全风险评估,评估追求形式、走过场,评估后没有进行修改完善。也有的单位自我感觉良好,害怕安全评估给自己找麻烦,或讳疾忌医,拒绝进行正规的安全评估。
针对这些问题,国家电力公司组织制定了电力二次系统即由电网和电厂的计算机监控系统及调度数据网络构成的一个综合负责的系统安全评估规范,建立了以日常自评估为主、周期性专业评估为辅的制度,逐步培养起一批既熟悉电力系统应用,又有安全评估经验的可靠的专业评估队伍,形成了良好的安全评估秩序。
风险评估的原则
电力信息系统的风险评估需按如下原则进行:标准的遵从、评估的完整性、评估过程的低风险、以及评估的实用性。
参照ISO/IECTR13335标准系列和BS7799的要求,制定网络系统安全评估方案,方案包括了评估的主要步骤、技术内容和实施管理。
按阶段评估分为:评估启动阶段、安全风险评估阶段、风险分析阶段和提出安全建议阶段.评估的每个阶段又由不同的工作活动组成。
评估工作的主要内容为现场风险评估,包括资产统计、A胁分析、漏洞发现、人工评估等,安全风险评估工作的所有内容围绕现场风险评估展开。
图:风险评估实施流程图
电力系统信息资产统计包括对评估范围内的所有有形和无形资产的统计,以及对这些资产的标识和其具有的价值和影响的半定量化的估算。
漏洞扫描通过一系列的扫描工具对信息系统中的漏洞进行发现,确认系统中的脆弱点数量和严重性。
威胁分析通过对网络系统历史上受到的攻击和危害的统计和判断,结合国际公认的威胁列表,以及系统环境分析,确定对当前系统最大的威胁来源。
策略文档分析主要是对网络系统中已制定和先采用的策略文档进行安全性分析、完整性分析和有效性分析,通过分析发现现有策略中的漏洞和确定策略体系的完整性。本部分的工作可以先期展开。
审计和策略访谈主要是按照BS7799中对信息安全管理的要求分级别、分角色、分类对调度系统管理人员进行信息安全的调查,以确定网络系统中涉及到的管理漏洞、人员安全意识等问题。其中,包括了对业务系统的跟踪分析和对现有策略执行情况的调查。
评估总结是对现场工作的汇报和情况总结,包括数据的初步整理、审核和确认。
在现代企业管理中,职业健康安全管理体系(OH&S)的内审是确保工作场所安全的重要环节。通过内审,企业能够识别和评估潜在风险,采取预防措施,从而避免事故发生,保障员工健康和企业财产安全。
2024-04-30五一假期,高速公路成为众多出游者的首选路线,但随之而来的是安全检查的多重挑战。本文将探讨在这一特殊时期,高速公路安全检查面临的主要挑战,并提出相应的应对策略。
2024-04-29五一假期,高速公路车流量激增,安全检查成为确保道路畅通和预防事故的关键环节。然而,如何在有限的时间内提高检查效率,成为摆在各相关部门面前的难题。本文将探讨一些实用的策略,以期在保障安全的同时,提升检查的效率。
2024-04-29科技的飞速发展和社会的不断进步,集团公司在安全管理方面也需要与时俱进,以适应新形势下的安全需求。以下是一些方法和策略,可以帮助集团公司做好安全管理,确保企业在竞争激烈的市场中长期稳定发展。
2024-04-28当谈到建筑工程时,一个重要的方面就是风险评估。建筑工程风险评估可以被看作是织就安全之网的过程,它旨在识别潜在的风险和危险,从而采取措施来减少事故发生的可能性。在建筑工程中,风险评估是一项关键的步骤,能够帮助确保工程项目的顺利进行,并保障参与者的安全。
2024-04-25为了确保变电站的安全运行,进行全面无死角的安全检查至关重要。以下是一些确保变电站安全检查全面无死角的方法:
2024-04-25