信息安全风险评估服务资质认证发现

信息安全研究 ›› 2018, Vol. 4 ›› Issue (10): 946-953.

信息安全风险评估服务资质认证发现

王笑¹,成林芳²,翟亚红¹

1. 中国网络安全审查技术与认证中心
2. 湖南省电子信息产业研究院

收稿日期:2018-10-11 出版日期:2018-10-15 发布日期:2018-10-11
通讯作者: 王笑
作者简介:王笑工学学士，主要研究领域信息安全管理、信息安全风险评估技术成林芳硕士研究生，主要研究领域信息安全管理、信息安全攻防及渗透测试技术翟亚红工程硕士，高级工程师，主要研究领域信息安全管理、信息安全服务能力认证技术

Analysis of Information Security Risk Assessment Service Qualification Certification Found

Received:2018-10-11 Online:2018-10-15 Published:2018-10-11

摘要/Abstract

摘要： 摘要对于对外提供信息安全风险评估服务的组织来说，通过信息安全风险评估服务资质认证是体现其技术与管理能力的重要方式.中国网络安全审查技术与认证中心在对外开展风险评估服务资质认证过程中，发现大多数组织在实施风险评估项目的过程中往往存在缺乏依据、不够客观、说服性不足等问题，在风险评估结果输出时，往往偏重于各种图表及计算模型的罗列，而缺乏相应的文字解释说明.将对发现的问题进行说明，同时基于风险评估工作实践给出问题解决和处理思路，推动信息安全风险评估技术实践及标准不断完善，提高信息安全风险评估服务能力.

关键词: 风险评估, 服务资质认证, 信息安全风险评估服务能力, 计算模型, 风险评估技术实践

Abstract: For organizations that provide information security risk assessment services to the outside world, certification of information security risk assessment service qualification is an important way to embody their technical and management capabilities. During the process of qualification certification for risk assessment services, our center found that most units often lack the basis, objectivity and persuasiveness in the implementation of risk assessment. When the risk assessment results are exported, they tend to focus on various charts and calculation models. This paper will explain the problems found, and based on the practice of risk assessment, give the idea of problem solving and handling, promote the practice and standards of information security risk assessment technology to improve constantly, and improve the level of information security risk assessment service capacity building.

Key words: risk assessment, service qualification authentication, information security risk assessment service capability, calculation models, the practice and standards of information security risk assessment technology

王笑成林芳翟亚红. 信息安全风险评估服务资质认证发现[J]. 信息安全研究, 2018, 4(10): 946-953.

[1]	何作峰李华中张宝琨. 某油田采油作业区工控安全技术研究[J]. 信息安全研究, 2019, 5(8): 696-702.
[2]	崔越王思叶诸邵忆. 三叉戟”核潜艇存在严重网络安全隐患的启示[J]. 信息安全研究, 2019, 5(7): 586-591.
[3]	赵海陈芳. 电子支付信息安全管理体系的研究与实践[J]. 信息安全研究, 2019, 5(6): 534-541.
[4]	王智. 互联网广告精准化营销中个人信息保护的路径构建[J]. 信息安全研究, 2018, 4(8): 760-768.
[5]	孙明亮位华王琰. 风险评估服务能力成熟度模型研究[J]. 信息安全研究, 2018, 4(10): 889-897.
[6]	刘璐贺强. 网络安全风险评估在电子政务中的实践[J]. 信息安全研究, 2018, 4(10): 898-903.
[7]	魏晓雷刘龙涛. 电力行业工业控制系统信息安全风险评估研究[J]. 信息安全研究, 2018, 4(10): 904-913.
[8]	韦早裕吴鸣旦马楠雷敏毕伟. 基于博弈模型的物联网系统漏洞风险评估[J]. 信息安全研究, 2018, 4(10): 914-921.
[9]	葛晓囡林玉堂黄振博王焱. OCTAVE风险评估方法在电子政务外网的应用[J]. 信息安全研究, 2018, 4(10): 922-927.
[10]	高亚楠刘丰陈永刚. 信息安全风险管理标准体系研究[J]. 信息安全研究, 2018, 4(10): 928-933.
[11]	张益霍珊珊刘美静. 信息安全风险评估实施模型研究[J]. 信息安全研究, 2018, 4(10): 934-939.
[12]	章恒. 云计算环境的风险评估研究[J]. 信息安全研究, 2017, 3(10): 0-0.
[13]	王琳胡晓勤. 一种实时网络风险可视化技术研究及实现[J]. 信息安全研究, 2016, 2(2): 180-185.
[14]	潘雪霖1,2,3 孙伟1,4. 基于GB/T 20984-2007 风险评估计算模型的研究[J]. 信息安全研究, 2015, 1(1): 54-59.