AssessITS: Integrating Procedural Guidelines and Practical Evaluation Metrics for Organizational IT and Cybersecurity Risk Assessment

In today’s digitally driven landscape, robust Information Technology (IT) risk assessment practices are essential for safeguarding systems, digital communication, and data. This paper introduces “AssessITS,” an actionable method designed to provide organizations with comprehensive guidelines for conducting IT and cybersecurity risk assessments. Drawing extensively from NIST 800-30 Rev 1, COBIT 5, and ISO 31000, “AssessITS” bridges the gap between high-level theoretical standards and practical implementation challenges. The paper outlines a step-by-step methodology that organizations can simply adopt to systematically identify, analyze, and mitigate IT risks. By simplifying complex principles into actionable procedures, this framework equips practitioners with the tools needed to perform risk assessments independently, without too much reliance on external vendors. The guidelines are developed to be straightforward, integrating practical evaluation metrics that allow for the precise quantification of asset values, threat levels, vulnerabilities, and impacts on confidentiality, integrity, and availability. This approach ensures that the risk assessment process is not only comprehensive but also accessible, enabling decision-makers to implement effective risk mitigation strategies customized to their unique operational contexts. “AssessITS” aims to enable organizations to enhance their IT security strength through practical, actionable guidance based on internationally recognized standards.

跨层次视角下信息安全氛围对员工信息安全制度遵守意愿的影响作用

员工安全遵守行为已成为保护企业信息资产安全的重要保障。侧重人因因素,讨论如何通过有效方法来规范和引导员工遵守信息安全制度。基于保护动机理论(protection motivation theory,PMT)和社会认知理论,采用跨层次分析方法,以员工信息安全制度遵守意愿为因变量,信息安全氛围为组织层面变量,感知严重性、感知易感性、反应效能和自我效能为个体层面变量构建研究模型。借鉴成熟量表设计问卷,发放问卷并获取有效数据,应用SPSS 26.0软件对研究模型进行假设验证。实证结果表明:感知严重性、感知易感性、反应效能和自我效能均正向影响员工信息安全制度遵守意愿;信息安全氛围跨层次既能直接影响员工信息安全制度遵守意愿,又可通过个体层面变量对结果变量产生影响作用。为强化企业安全管理提供一定的理论支撑。

基于VOSviewer的测评机构市场竞争特征分析模型的构建

网络安全等级保护在网络安全保障、网络强国建设方面发挥着至关重要的作用。随着资质管理从审核推荐模式向服务认证模式的转变,网络安全等级保护测评机构的资质管理得到网络安全界越来越多的关注。在分析网络安全等级保护测评机构投标项目信息的基础上,应用VOSviewer知识图谱软件构建一种市场竞争特征分析模型,为等级测评行业的高质量发展提供参考借鉴。首先对采集数据进行清洗以及基于相似度去重;然后采用机器学习算法对项目信息进行“关键词”(项目类型、项目所属行业)的抽取和标注;最后将项目信息进行RefWorks格式转换并导入VOSviewer,可视化呈现测评机构的竞争关系和市场特征。

基于网络安全等级保护2.0的测评管理系统设计与实现

在传统的信息安全等级保护测评过程中,当测评人员完成测评工作后,由于人员水平参差,形成的最终报告往往差别较大。为了规范测评结果报告的生成,并方便测评人员对测评结果进行管理,该文基于网络安全等级保护2.0(等保2.0)国家标准要求,设计并实现信息安全等级保护测评管理系统。本系统具有创新性的多方参与管理体系,将用户根据身份的不同划分成不同的角色,不同身份级别的角色对系统中的测评结果拥有不同的查看或修改权限。系统基于B/S架构与MVC框架,利用PHP语言开发,并采用HTML、CSS、JavaScript等前端技术实现系统的可视化、动态化。

基于等级测评实践的信息安全状况分析

构建信息安全管理系统(ISMS)是提升组织信息安全防护能力的关键途径。近些年,随着信息安全等级保护任务的不断推进,ISMS和等级保护的结合受到了广泛关注。基于此,本文探讨信息系统安全保护措施落实情况,分析信息系统常见安全问题,提出等级保护测评中信息安全现场测评方法,以及优化信息安全现场测评的有效方式。

等级保护测评过程中常见的静态密码风险及防护建议

随着信息科学的发展,身份验证技术也随之持续更新,但静态密钥仍然是信息系统中最常见的身份验证手段。尤其是伴随着信息系统构造模式的转变,信息系统相关的操作系统、网络设施、保护装置等领域的静态密钥面临着新的挑战。本文梳理了在等级保护评价流程中经常遇到的静态密码危机,并为每种危机制定了适当的预防方案。

基于云安全服务平台的等级保护测评方法

在确定安全预防策略是否满足信息系统安全标准的过程中,会根据信息系统安全等级的保护评价准则,同时考虑云安全服务平台的科技特征与商业性质,制定云安全服务平台的信息安全评价需求架构。本文研究基于云安全服务平台的等级保护测评方法,为云安全服务设定一个信息安全的评估途径。

基于用户身份的信息安全管控平台架构研究与应用——以南京市规划资源网为例

等级保护2.0标准的发布对南京市规划自然资源城域网的网络安全和系统安全管理提出了更高的要求,文章通过研究基于用户身份的信息安全管控平台架构,建立集用户账号集中管理、身份识别集中认证、访问控制集中授权、海量日志集中综合审计于一体的安全管控平台,以不动产登记档案查询系统为案例探索实现应用系统资源接入,为南京市规划资源网提供基于用户统一身份的安全管控服务,提升规划资源信息化体系的安全性和管理能力,实现整体安全管理工作的可视、可控、可管。

基于“等保2.0”的精神专科互联网医院网络信息安全现状与防护研究

苏州市广济医院(以下简称“我院”)承担了苏州地区1300万居民的精神心理疾病的预防、治疗、康复任务。作为一种新型的医疗服务模式,精神专科互联网医院通过互联网技术对医疗资源进行了整合,旨在为患者提供远程的诊断、治疗和康复服务。由于互联网具有开放性和共享性,精神专科互联网医院的信息系统易遭受外部攻击和入侵,面临患者信息泄露、诊疗数据被篡改等问题。对标“等保2.0”,我院在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面针对现状进行了分析,并对互联网医院提出了完善建议,旨在通过进一步的网络安全防护策略优化来提高网络安全水平。

某油田轻烃回收厂控制系统项目中的工控安全技术应用

随着智慧油田的不断发展,需要按照等保要求和现场业务实际需求对生产网的工控系统进行安全防护,并且生产网与办公网之间的交互逐步从单纯的数据交互转变到业务交互,也对跨网交互中的边界安全性提出了更高的防护要求。本文对某油田轻烃回收厂控制系统如何做好安全防护进行分析,并充分考虑了油气单位生产网与办公网的业务安全交互难点,最终实现了“业务+安全”的深度融合。

镇海炼化扩建120万吨/年乙烯项目SIS系统网络安全等级保护项目

镇海炼化扩建120万吨/年乙烯项目SS系统网络安全等级保护项目是中石化行业内第一套实施并投用的网络安全等级保护2.0项目。北京康吉森自动化技术股份有限公司作为此安全仪表系统的实施单位,成功完成该项目并满足设计要求的各项指标。

电力信息通信系统中的网络安全策略分析

阐述电力信息通信网络的特点,电力信息通信系统网络安全面临的挑战,应对问题的解决措施,分析多层次的安全防护体系和安全标准,关注网络设备、系统和云服务的完整防护。

人工神经网络下5G通信网络信息安全防护研究

网络应用、服务与终端用户呈现暴增趋势,为网络信息安全带来极大的威胁.而网络信息安全是保证其稳定运行的基础与前提,为此,提出基于人工神经网络的5G通信网络信息安全防护方法.明确5G通信网络信息安全问题成因,构建通信用户实名认证架构,在源头验证用户身份信息,选取DES算法(对称加密技术)加密处理网络信息.基于人工神经网络创建网络信息分类器,将网络信息集合输入至训练好的分类器中,即可完成异常网络信息的检测.实验结果显示在不同场景下,应用提出方法获得的异常网络信息检测时延更短,网络信息安全参量取值更大,证实提出方法应用性能较佳.

高校网络信息安全防护管理的策略探讨

网络信息安全是高校信息化建设的核心内容,而网络信息安全建设的核心任务是设计一套适合自身发展的网络安全防护体系。文章首先总结和分析了高校建设、运维中存在的各种网络安全问题,其次根据网络信息安全的复杂性、处理的及时性以及传播的快速性等特点,从校园网络信息规划建设、网络信息安全的各种防护手段以及人员制度管理等方面完整地阐述了各项有效措施。

基于内生安全的智慧医院网络安全体系重构

介绍医院网络安全现状及内生安全概念、特点,阐述基于内生安全的智慧医院网络安全体系重构方法,分析存在的问题并提出建议,包括加强全员安全宣传教育、网络安全制度执行以及管理人员知识储备等。

核电DCS网络安全防护技术研究

核电数字化控制系统(DCS)属于国家关键信息基础设施(CII),亟需为其建立综合防御、积极防范、本质安全的网络安全保障体系。基于国家标准法规技术要求,结合核电DCS业务特点、安全现状,对DCS网络安全防护技术进行了深入研究,形成了满足核电DCS业务需求和网络安全等级保护四级技术要求的整体防护技术方案。防护技术方案以“一个中心、三重防护”为设计核心,基于自主研发的网络安全产品,创新应用多项保障DCS业务安全的关键技术,采用安全区域划分、分布控制、集中管控等安全措施构建了网络安全综合防御体系,有效提升了核电DCS防护能力。相关技术已在多个核电工程项目落地,应用效果良好,为其他领域的国家CII系统网络安全建设提供了良好的示范和借鉴。

医院信息化建设中网络安全保护方案设计研究

随着医院信息化建设的日益发展,网络安全问题也越来越受到重视。本文就医院信息化建设中网络安全保护方案的设计研究进行探讨,分析医院信息化建设中常见的网络安全问题,提出了网络安全保护方案设计的原则,并详细描述网络安全保护方案的设计过程以及评估方法,旨在为医院信息化建设提供安全保障。

网络安全等级保护在信息安全建设中的应用

随着互联网的快速发展和广泛应用,网络安全问题日益凸显,给个人、组织和国家的信息资产带来了严重的威胁。在信息安全建设过程中,网络安全等级保护作为一种重要的手段和方法,具有不可忽视的作用和价值。文章介绍了网络安全等级保护的概念,重点探讨网络安全等级保护在信息安全建设中的重要作用、应用问题及应用策略。通过文章的研究,将更加深入地认识到网络安全等级保护在信息安全建设中的重要性,为相关领域的专业人士提供参考和借鉴,推动网络安全事业的发展与进步。

火电企业燃料智能化信息安全等级保护建设

火电企业的燃料信息是电厂经营中保密程度高的绝密数据,其信息安全等级保护建设是智慧电厂信息化建设中的重要组成部分,可为火电企业信息安全建设提供基础支撑。针对火电企业等级保护建设的要求,从政策支撑、级别确定的角度出发,以总装机1000 MW为分界点,分别按照第2级、第3级进行安全保护等级的分类。依照“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,分析火电企业燃料信息安全所需的物理环境,对机房安全、供电安全,网络构架、区域边界与运维管理、系统综合防护等系统建设管理方面进行深度探讨,并提出软硬件建设要求及梳理等保测评的4个步骤,落实等级保护测评的周期要求,针对网络安全等级保护测评则确定2级定级的系统一般每2年开展1次,而3级定级的系统要求每年至少开展1次等保测评。通过等级保护的引入,将信息安全等级保护形成持续性的长期迭代工作,可对火电企业的信息安全建设提供指导作用。

医院信息系统信息安全等级保护的有效措施

近年来,医院信息系统中医疗数据不断增多,导致患者敏感信息泄露、数据被病毒感染等问题频发,这不仅会对患者的隐私造成侵害,还可能导致医院医疗工作的严重混乱,甚至影响医疗服务的安全性和稳定性。因此,医院网络信息安全问题受到社会各界广泛的重视。为了保障医院信息系统的安全,我国出台了比以往政策要求更为严谨的等保2.0,这不仅要求医院信息系统的等级划分和保护要做出更加科学合理的规划,而且要求医院采取一系列的有效措施来确保医院信息系统的安全性。文章将针对医院信息系统网络安全等级保护的有效措施展开分析,希望能够让医院相关人员能更加深入地了解医院信息系统的安全问题,并加强对网络安全等级保护的重视和认识。