網路安全風險管理指南標准

『壹』 網路安全工程師最權威的證書是什麼

網路安全技術認證的種類大致有以下幾類：

一是以網路安全管理為主的認證，如英國標准化協會推出的關於ISO13355和ISO17799管理安全培訓，它主要面向企業的領導和管理人員；

二是以網路安全技術的理論和技術為主的認證，它較為偏重於知識的認證，如美國CIW的網路安全專家（Security Professional）認證、美國Guarded Network公司推出的網路安全認證等；

三是以專業廠商的產品技術為主的技術認證，如賽門鐵克（Symantec）、Check-point、CA等公司提供的結合本公司產品的一些技術認證。

這些項目的特點是實踐性比較強；四是與具體的網路系統相關的安全技術認證，如微軟的ISA認證課程、思科（Cisco）的路由器及防火牆認證課程，這些課程必須結合其系統及系統技術一起學習，才能夠比較容易地掌握。

『貳』 什麼是ISOIEC 13335，它與ISOIEC 27002有什麼關系

ISO/IEC 13335是國際標准《IT安全管理指南》，英文名稱：Guidelines for the Management of IT Security（GMITS），該標准由5個部分組成，分別如下：

□ ISO/IEC 13335-1:2004《信息和通信技術安全管理的概念和模型》

本部分提供IT安全管理的基本概念和模型。這些概念和模型是後續標准進一步討論和開發IT安全管理的基礎，本部分對完整理解ISO/IEC TR 13335的以下部分非常重要。

□ ISO/IEC TR 13335-2:1997《IT安全管理和計劃制定》

本部分描述了管理和計劃方面的內容。它涉及組織IT系統管理相關職責的人員，包括負責IT系統設計、實
施、測試、采購、操作的人員，以及那些負責組織信息化的管理人員。

□ ISO/IEC TR 13335-3:1998《IT安全管理技術》

本部分描述項目生命周期內IT安全管理相關的技巧。包括項目的規劃，設計，實施，測試，采購和操作等過程相關的技巧。這些技巧可以用來評估組織的IT安全風險，幫助組織建立和維持合適級別的安全控制。

□ ISO/IEC TR 13335-4:2000《安全措施的選擇》

本部分在安全控制措施的選擇方面提供了指南，指導組織如何根據第三部分所提到的風險評估的結果，選擇適合組織的控制，並對採取的控制進行進一步的評估，以評價其效果。

□ ISO/IEC TR 13335-5:2001《網路安全管理指南》

本部分針對網路和通信的安全管理提供了指南，指導組織從哪些方面來識別和分析計算機網路和通信系統相關的IT安全要求，同時概括介紹了可供採用的安全對策。
簡單地說，ISO/IEC 13335和ISO/IEC 27002之間沒有直接的聯系，它們的主題基本不重疊。組織在按照ISO 27001建立信息安全管理體系時，可以參照ISO/IEC 13335的部分方法，例如風險評估可以參照ISO/IEC TR 13335-3《IT安全管理技術》。

『叄』 如何對網路安全進行風險評估

安全風險分為四個顏色，紅、藍、黃、綠。
分別對應四個等級，其含義和用途：
（1）紅色：表示禁止、停止，用於禁止標志、停止信號、車輛上的緊急制動手柄等；
（2）藍色：表示指令、必須遵守的規定，一般用於指令標志；
（3）黃色：表示警告、注意，用於警告警戒標志、行車道中線等；
（4）綠色：表示提示安全狀態、通行，用於提示標志、行人和車輛通行標志等。



(3)網路安全風險管理指南標准擴展閱讀：
國家標准GB2893—82《 安全色》對安全色的含義及用途、照明要求、顏色范圍以及檢查與維修等均作了具體規定。
根據《安全色》（GB2893-2001），國家規定了四種傳遞安全信息的安全色：紅色表示禁止、危險；黃色表示警告、注意；藍色表示指令、遵守；綠色表示通行、安全。
安全風險評估
安全風險評估：就是從風險管理角度，運用科學的方法和手段，系統地分析網路與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和整改措施。
風險評估工作貫穿信息系統整個生命周期，包括規劃階段、設計階段、實施階段、運行階段、廢棄階段等。
常用的安全風險評價方法：
1、工作危害分析（JHA）；
2、安全檢查表分析（SCL）；
3、預危險性分析（PHA）；
4、危險與可操作性分析（HAZOP）；
5、失效模式與影響分析（FMEA）；
6、故障樹分析（FTA）；
7、事件樹分析（ETA）；
8、作業條件危險性分析（LEC）等方法。