本文详细介绍了信息安全风险评估的全过程,包括评估准备、风险要素识别、风险分析和风险处理四个阶段。在评估准备中,涵盖了确定评估目标、范围、组建团队、启动会议、系统调研、确定依据、选择工具和制定方案等内容。风险要素识别涉及资产识别、威胁识别、脆弱性识别和已有安全措施的确认。在风险分析中,解释了如何计算安全事件可能性、严重性和风险值。最后,讨论了风险处理的原则、建议和评审会的组织。整个过程旨在识别和管理信息安全风险,确保组织的信息安全。
风险评估流程
本文内容参考国家标准:
《GBT 31509-2015 信息安全技术 信息安全风险评估实施指南》
《GBT 20984-2007 信息安全技术 信息安全风险评估规范》
一.评估准备
1.1确定评估目标
风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段,并以此来明确风险评估目标。
1.2确定评估范围
在确定风险评估所处的阶段及相应目标之后,应进一步明确风险评估的评估范围,可以是组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。在确定评估范围时,应结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围边界,可以参考以下依据来作为评估范围边界的划分原则:
a)业务系统的业务逻辑边界;
b) 网络及设备载体边界;
c) 物理环境边界;
d)组织管理权限边界;
e) 其他。
1.3组建评估团队
风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组;由被评估组织领导、相关部门负责人,以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成专家组。
风险评估小组应完成评估前的表格、文档、检测工具等各项准备工作;进行风险评估技术培训和保密教育;制定风险评估过程管理相关规定;编制应急预案等。双方应签署保密协议,适情签署个人保密协议。
1.4评估工作启动会议
为保障风险评估工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开风险评估工作启动会议。启动会一般由风险评估领导小组负责人组织召开,参与人员应该包括评估小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。
启动会主要内容主要包括:被评估组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;评估机构项目组长介绍评估工作一般性方法和工作内容等。
通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训,使全体人员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容。
1.5系统调研
系统调研是了解、熟悉被评估对象的过程,风险评估小组应进行充分的系统调研,以确定风险评估的依据和方法。调研内容应包括:
a)系统安全保护等级;
b)主要的业务功能和要求;
c)网络结构与网络环境,包括内部连接和外部连接;
d)系统边界,包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等;
e)主要的硬件、软件;
f) 数据和信息;
g)系统和数据的敏感性;
h)支持和使用系统的人 员;
i)信息安全管理组织建设和人员配备情况;
j)信息安全管理制度;
k)法律法规及服务合同;
l)其他。
系统调研可采取问卷调查、现场面谈相结合的方式进行。
1.6确定评估依据
根据风险评估目标以及系统调研结果,确定评估依据和评估方法。评估依据应包括:.
a)适用的法律 、法规;
b)现有国际标准、国家标准、行业标准;
c)行业主管机关的业务系统的要求和制度;
d)与信息系统安全保护等级相应的基本要求;
e) 被评估组织的安全要求;
f)系统自身的实时性或性能要求等。
根据评估依据,应根据被评估对象的安全需求来确定风险计算方法,使之能够与组织环境和安全要求相适应。
1.7确定评估工具
根据评估对象和评估内容合理选择相应的评估工具,评估工具的选择和使用应遵循以下原则:
a)对于系统脆弱性评估工具,应具备全面的已知系统脆弱性核查与检测能力;
b)评估工具的检测规则库应具备更新功能,能够及时更新;
c)评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响;
d)可采用多种评估工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采
用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。评估工具的选择和使用必须符合国家有关规定。
1.8制定评估方案
风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控,并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的确认和认可。风险评估方案的内容应包括:
a)风险评估工作框架:包括评估目标、评估范围、评估依据等;
b)评估团队组织:包括评估小组成员、组织结构,角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等;
c) 评估工作计划:包括各阶段工作内容、工作形式、工作成果等;
d)风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;
e)时间进度安排:评估工作实施的时间进度安排;
f)项目验收方式:包括 验收方式、验收依据、验收结论定义等。
二.风险要素识别
2.1实施流程
2.2资产识别
资产是直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同,以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。因此,有必要对被评估方网络环境中的信息资产进行科学和系统地识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。
2.2.1资产调查
资产调查是评估小组对评估范围内的信息系统进行资产调查和识别。主要采用实地勘查、资料检阅、人员访谈等手段,调查内容主要包括:
1)业务战略及管理制度;
2)主要的业务功能和要求;
3)网络结构与网络环境,包括内部连接和外部连接;
4)系统边界;
5)主要的硬件、软件;
6)数据和信息;
7)系统和数据的敏感性;
8)支持和使用系统的人员;
9)其他。
该阶段工作可以在准备阶段的系统调研阶段完成,也可以现场实施时进行。
2.2.2资产分类
风险评估范围内的所有资产必须予以确认,包括数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产。与应用系统有关的信息或服务、组件(包括与组件相关的软硬件)、人员、物理环境等都是组织的资产—应用系统的子资产,从而使得子资产与应用系统之间更加具有关联性。据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型,如下表所示:
| 分类 | 内容描述 |
|---|---|
| 数据 | 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 |
| 软件 | 系统软件:操作系统、语言包、工具软件、各种库等 应用软件:外部购买的应用软件 |
最低0.47元/天 解锁文章
扫一扫
2780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
