前言
信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视。风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可。风险评估逐步成为信息安全管理的最为重要的手段之一。那如何规范的实施风险评估,保证信息系统的安全,成为很多企业安全负责人认真考虑的问题。
一、参考标准
1.1国外标准
NIST SP800-26 《Security Self-Assessment Guide forInformation Technology Systems》
NIST Special Publication 800-30 《Risk ManagementGuide for Information Technology Systems》
OCTAVE:Operationally Critical Threat, Asset, andVulnerability Evaluation Framework
ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》
ISO/IEC 27001:2005 《信息技术——信息安全管理实施规范》
AS/NZS 4360:1999 《风险管理》
ISO/IEC TR 13335 《信息技术安全管理指南》
1.2国内标准
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》
二、前期准备
2.1 确定评估目标
因风险评估主要目标是信息系统,故开展风险评估开展之前,首先需要了解的就是此次风评的目标,可以是整个单位的所有信息系统,或者单个系统,单个系统的我们一般都是叫做专项风险评估。
2.2 确定评估范围
确定好风险评估的目标后,就需要对此目标的边界进行定义,可以从以下几个方面考虑:
1)待评估系统的业务逻辑边界(如独立的系统可以不需考虑),例如跟哪些系统有数据交互,避免关联系统被渗透,从而导致此系统也被渗透,可以例举出;
2)网络及设备载体边界,这里最好有网络拓扑图,那样会比较清晰的看到支撑此系统的硬件设备情况,是否有冗余配置,例如服务器、交换机、路由器、安全设备等;
3)物理环境边界,主要讲的是机房的环境,有没有监控设备、防水、防雷、防潮、异常告警,其实等保测评时会考虑这方面,如机房太远或不方便查看,可以看看系统对应的最新测评报告;
4)组织管理权限边界,主要是需要明确目标系统是谁负责开发、维护、管理等。
2.3 组建评估团队
可能有同学会问,为什么需要组建团队去做这个事情呢?
经历过风险评估同学都知道,这工作是极其复杂的,会涉及非常多的方面,当然如果是传说中的“一个人的安全部”,预算又吃紧的单位,那就只能仰天长叹,默默搬砖吧,希望下面的内容对你有帮助。
下图是标准理想状态的团队组成,大厂或者预算充足的ZF单位才有这样的高配,单位可以根据公司内部的情况组建团队,也可以委托第三方有风险评估资质的公司负责。
2.4工作计划
风险评估是一个复杂繁琐的工作,常