网络安全风险管理指南标准

‘壹’ 网络安全工程师最权威的证书是什么

网络安全技术认证的种类大致有以下几类：

一是以网络安全管理为主的认证，如英国标准化协会推出的关于ISO13355和ISO17799管理安全培训，它主要面向企业的领导和管理人员；

二是以网络安全技术的理论和技术为主的认证，它较为偏重于知识的认证，如美国CIW的网络安全专家（Security Professional）认证、美国Guarded Network公司推出的网络安全认证等；

三是以专业厂商的产品技术为主的技术认证，如赛门铁克（Symantec）、Check-point、CA等公司提供的结合本公司产品的一些技术认证。

这些项目的特点是实践性比较强；四是与具体的网络系统相关的安全技术认证，如微软的ISA认证课程、思科（Cisco）的路由器及防火墙认证课程，这些课程必须结合其系统及系统技术一起学习，才能够比较容易地掌握。

‘贰’ 什么是ISOIEC 13335，它与ISOIEC 27002有什么关系

ISO/IEC 13335是国际标准《IT安全管理指南》，英文名称：Guidelines for the Management of IT Security（GMITS），该标准由5个部分组成，分别如下：

□ ISO/IEC 13335-1:2004《信息和通信技术安全管理的概念和模型》

本部分提供IT安全管理的基本概念和模型。这些概念和模型是后续标准进一步讨论和开发IT安全管理的基础，本部分对完整理解ISO/IEC TR 13335的以下部分非常重要。

□ ISO/IEC TR 13335-2:1997《IT安全管理和计划制定》

本部分描述了管理和计划方面的内容。它涉及组织IT系统管理相关职责的人员，包括负责IT系统设计、实
施、测试、采购、操作的人员，以及那些负责组织信息化的管理人员。

□ ISO/IEC TR 13335-3:1998《IT安全管理技术》

本部分描述项目生命周期内IT安全管理相关的技巧。包括项目的规划，设计，实施，测试，采购和操作等过程相关的技巧。这些技巧可以用来评估组织的IT安全风险，帮助组织建立和维持合适级别的安全控制。

□ ISO/IEC TR 13335-4:2000《安全措施的选择》

本部分在安全控制措施的选择方面提供了指南，指导组织如何根据第三部分所提到的风险评估的结果，选择适合组织的控制，并对采取的控制进行进一步的评估，以评价其效果。

□ ISO/IEC TR 13335-5:2001《网络安全管理指南》

本部分针对网络和通信的安全管理提供了指南，指导组织从哪些方面来识别和分析计算机网络和通信系统相关的IT安全要求，同时概括介绍了可供采用的安全对策。
简单地说，ISO/IEC 13335和ISO/IEC 27002之间没有直接的联系，它们的主题基本不重叠。组织在按照ISO 27001建立信息安全管理体系时，可以参照ISO/IEC 13335的部分方法，例如风险评估可以参照ISO/IEC TR 13335-3《IT安全管理技术》。

‘叁’ 如何对网络安全进行风险评估

安全风险分为四个颜色，红、蓝、黄、绿。
分别对应四个等级，其含义和用途：
（1）红色：表示禁止、停止，用于禁止标志、停止信号、车辆上的紧急制动手柄等；
（2）蓝色：表示指令、必须遵守的规定，一般用于指令标志；
（3）黄色：表示警告、注意，用于警告警戒标志、行车道中线等；
（4）绿色：表示提示安全状态、通行，用于提示标志、行人和车辆通行标志等。



(3)网络安全风险管理指南标准扩展阅读：
国家标准GB2893—82《 安全色》对安全色的含义及用途、照明要求、颜色范围以及检查与维修等均作了具体规定。
根据《安全色》（GB2893-2001），国家规定了四种传递安全信息的安全色：红色表示禁止、危险；黄色表示警告、注意；蓝色表示指令、遵守；绿色表示通行、安全。
安全风险评估
安全风险评估：就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。
风险评估工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。
常用的安全风险评价方法：
1、工作危害分析（JHA）；
2、安全检查表分析（SCL）；
3、预危险性分析（PHA）；
4、危险与可操作性分析（HAZOP）；
5、失效模式与影响分析（FMEA）；
6、故障树分析（FTA）；
7、事件树分析（ETA）；
8、作业条件危险性分析（LEC）等方法。