- 风险评估
- 评估准备
- 确定风险评估的目标:对象、范围
- 组建评估团队、明确评估工具
- 开展前期调研(方式:问卷==》面谈)
- 系统等保测评等级
- 主要的业务功能和要求
- 网络结构和网络环境(内外部连接)
- 系统边界(业务逻辑、网络、设备载体、物理环境、组织管理、权限管理)
- 主要的硬件、软件
- 数据和信息
- 系统和数据的敏感性
- 支持和使用系统的人员
- 信息安全管理组织建设和人员配备情况
- 信息安全管理制度
- 法律法规及服务合同
- 确定评估依据:政策、法规、相关业务标准
- 建立风险评价准则:结果进行等级化处理,对于不同风险能够直观比较,确定组织后期的风险控制策略
- 制定评估方案
- 风险识别
- 资产识别并赋值
- 业务识别
- 系统资产识别
- 系统组件和单元资产识别
- 威胁识别
- 资产识别并赋值
分析威胁的来源、主体、种类、动机、时机、频率,并赋值
-
- 脆弱性识别
- 技术脆弱性
- 识别对象:物理环境、网络结构、系统软件、应用中间件、应用系统
- 测评过程:
- 安全基线检查
- 漏洞扫描风险
- Web渗透风险
- APP风险
- 管理脆弱性:技术管理、组织管理
- 价值赋值
- 技术脆弱性
- 已有安全措施识别:评估现有安全措施的有效性
- 脆弱性识别
- 风险分析
- 分析结果
- 计算风险值
- 等级划分
- 风险统计
- 风险评价
- 系统资产风险等级划分表
- 业务风险等级划分表
- 沟通协商
- 风险评估文档记录
- 符合性测评
- 立项:资质审核
- 业务判断
- 判断客户系统类型
- 网络拓扑图
- 制度文件
- 指定对应的测评表:应用安全、网络安全、设备安全、灾难恢复
- 依据测评表的内容进行访谈
- 了解用户需求、背景
- 查看测评表上检查点对应的内容
- 数据文档
- 管理制度
- 漏洞扫描
- 漏扫报告
- 基线核查
- 渗透测试
- 初测
- 复测
- 整理测评报表上的内容
- 等保测评
- 准备阶段
-
- 项目启动
- 信息收集:定级报告、系统描述文件、系统安全设计方案等
- 发放调查表
- 工具与测评环境准备
-
- 现场测评阶段
等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类。管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。
-
- 调研访谈:
- 人员访谈
- 文档查看
- 漏洞扫描
- 渗透测试
- 基线核查
- 调研访谈:
-
- 安全整改:根据分析报告,进行优化整改
- 综合评估
- 区别
- 等保是一项基础管理制度,风险测评、符合性测评都是在等级保护制度下对信息系统安全性进行评价的方法。
- 等保测评的定级主要是从业务需求或CIA特性考虑,帮助用户分析、评定信息系统的等级,以便在后期的工作更具不同的等级进行不同级别的安全防护。
- 风险测评主要是综合考虑信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,即CIA价值高的资产不一定风险等级就高。它帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。
- 符合性测评应由具备检验技术能力和政府授权资质的权威机构进行测评,是对已采取的安全措施的技术的检验,从而给出系统现存安全脆弱性的判断。