【技术实现步骤摘要】
基于业务流程的风险评估方法及系统
本专利技术涉及风险评估领域,特别涉及一种基于业务流程的风险评估方法及系统。
技术介绍
信息安全风险评估是对企业信息系统进行信息安全风险管理的首要环节,通过风险评估及早发现安全隐患并采取相应的整改措施是为企业的信息安全保障的必不可少的一部分。目前,大多数企业实施风险评估参照ISO27005:2008(信息安全技术风险管理)和GBT20984:2007(信息安全风险评估规范)的国际/国外基于资产的风险评估方法论,风险评估的重点在于实时维护企业的信息资产,由于企业内部资产非常繁杂,信息资产列表需要协调各个资产所有者、使用者、运维者以及信息安全管理人员手工维护,不仅工作量大,而且可能由于不同人员的理解不同,导致资产的评估不准确。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中基于资产的进行风险评估,导致评估准确性低,且评估效率低的缺陷,提供一种基于业务流程的风险评估方法及系统。本专利技术是通过下述技术方案来解决上述技术问题:一种基于业务流程的风险评估方法,其特点在于,所述风险评估方法包括业务安全评估步骤,所述业务安全评估步骤包括以下步骤:S11、获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息;S12、所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断所述敏感信息的评估项是否符合对应的预设信息安全要求;S13、输出判断结果。较佳地,在步骤S11中,还获取用于存储所述敏感信息的数据库的信息,还获取用于管理所述敏感信息的后台管理系统的信息,还获取用于接收所述 ...
【技术保护点】
一种基于业务流程的风险评估方法,其特征在于,所述风险评估方法包括业务安全评估步骤,所述业务安全评估步骤包括以下步骤:S11、获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息;S12、所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断所述敏感信息的评估项是否符合对应的预设信息安全要求;S13、输出判断结果。
【技术特征摘要】
1.一种基于业务流程的风险评估方法,其特征在于,所述风险评估方法包括业务安全评估步骤,所述业务安全评估步骤包括以下步骤:S11、获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息;S12、所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断所述敏感信息的评估项是否符合对应的预设信息安全要求;S13、输出判断结果。2.如权利要求1所述的风险评估方法,其特征在于,在步骤S11中,还获取用于存储所述敏感信息的数据库的信息,还获取用于管理所述敏感信息的后台管理系统的信息,还获取用于接收所述敏感信息的应用程序的信息。3.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。4.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。5.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。6.如权利要求5所述的风险评估方法,其特征在于,在步骤S12中,所述敏感信息包括若干个评估项;在步骤S13中,分别输出符合评估项及不符合评估项的数量,计算并输出缺陷率,所述缺陷率的计算公式如下:缺陷率=不符合评估项的数量/评估项的总数量;在步骤S13中,还分别输出高风险、中风险及低风险的不符合评估项的数量,计算并输出风险值,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值的计算公式如下:风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z。7.如权利要求1~6中任意一项所述的风险评估方法,其特征在于,所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估,并且输出业务连续性风险评估结果的步骤:所述风险评估方法还包括安全技术评估步骤及安全管理评估步骤;所述安全技术评估步骤包括以下步骤:S21、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估;S22、输出安全技术风险评估结果;所述安全管理评估步骤包括以下步骤:S31、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估;S32、输出安全管理风险评估结果。8.一种基于业务流程的风险评估系统,其特征在于,所述风险评估系统包括业务安全评估模块,所述业务安全评估模块包括信息获取模块、第一处理模块及第一输出模块...
【专利技术属性】
技术研发人员:刘洋,章锦成,卢佳蓓,郭君豪,朱卫东,叶云霞,史虹,
申请(专利权)人:上海携程商务有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。