信息安全风险管理程序
信息安全风险管理制度
信息安全风险管理制度一、背景和目标随着信息技术的发展,信息安全风险面临着日益复杂和多样化的挑战。
为了保护组织的核心信息资产和确保信息系统的正常运行,制定一套完善的信息安全风险管理制度至关重要。
本制度的目标是全面评估、分析和管理组织的信息安全风险,减少安全漏洞的发生和信息资源的损失。
二、制度执行机构1.信息安全管理部门:负责制定和实施信息安全风险管理制度,并监督全面执行。
三、信息安全风险评估流程1.识别信息资产:明确组织的信息资产,并记录其价值和重要性。
2.识别威胁:识别可能存在的内部和外部威胁,并分析其可能带来的安全风险。
3.评估漏洞:对信息系统进行漏洞评估,确认存在的安全漏洞和风险。
4.评估风险:根据信息资产的价值和威胁的可能性和影响,评估风险的等级。
5.制定应对措施:根据风险评估的结果,确定相应的风险管理策略和防护措施。
6.实施措施:组织相关部门根据制定的措施进行具体的安全防护工作。
7.监控和回顾:定期监控系统的安全状态,并对安全事件和漏洞进行及时处理和回顾。
四、信息安全风险管理原则1.统一领导:充分发挥信息安全管理部门的作用,统一领导和协调各部门的安全工作。
2.风险评估优先:风险评估是信息安全工作的基础,必须在系统上线或更新前进行。
3.风险自愿原则:各部门应根据自身需求和风险情况自愿参与风险管理工作。
4.风险分级管理:根据信息资产的重要性和敏感程度,分级制定风险管理策略。
5.预防为主:采取积极预防措施,减少安全事件和漏洞的发生。
6.合规监管:遵循相关法律法规和行业标准,定期进行合规性的自查和检查。
7.不断完善:持续改进信息安全风险管理制度,提高组织的信息安全水平。
五、信息安全风险管理的工具和技术1.风险评估工具:利用专业的风险评估工具对系统进行定期评估和检查。
2.弱点扫描工具:使用弱点扫描工具对系统进行漏洞扫描,及时发现系统存在的安全弱点。
3.安全日志监控工具:建立合理的安全日志记录和监控机制,及时发现异常行为并作出响应。
信息安全风险管理程序
信息安全风险管理程序城云科技(杭州)有限公司信息安全风险管理程序⽬录信息安全风险管理程序 ............................................. 错误!未定义书签。
第⼀章⽬的.................................................. 错误!未定义书签。
第⼆章范围.................................................. 错误!未定义书签。
第三章名词解释 ............................................... 错误!未定义书签。
第四章风险评估⽅法 ........................................... 错误!未定义书签。
第五章风险评估实施 ........................................... 错误!未定义书签。
第六章风险管理要求 ........................................... 错误!未定义书签。
第七章附则................................................. 错误!未定义书签。
第⼋章检查要求 ............................................... 错误!未定义书签。
第⼀章⽬的第⼀条⽬的:指导信息安全组织针对信息系统及其管理开展的信息风险评估⼯作。
本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进⾏了详细描述。
第⼆章范围第⼆条范围:适⽤于风险评估组开展各项信息安全风险评估⼯作。
第三章名词解释第三条资产对组织具有价值的信息或资源,是安全策略保护的对象。
第四条资产价值资产的重要程度或敏感程度的表征。
资产价值是资产的属性,也是进⾏资产识别的主要内容。
信息安全风险管理
信息安全风险管理信息安全在当今社会中扮演着至关重要的角色。
随着技术的不断发展,人们越来越依赖于计算机和互联网来进行日常工作和生活。
然而,随之而来的是一系列安全风险,如数据泄露、网络攻击和恶意软件等,这些风险可能会对个人、组织和国家带来严重的损害。
因此,信息安全风险管理显得尤为重要。
信息安全风险管理是一种系统化的方法,旨在识别、评估和应对信息系统中存在的各种潜在风险。
以下是一些关键的步骤和措施可以帮助实现信息安全风险管理。
1. 风险评估与识别首先,进行全面的风险评估和识别,包括对组织内部和外部的信息系统进行审查和调查,以确定潜在的风险点。
这可能涉及到对系统架构、应用程序、网络安全和人员安全等方面的分析。
2. 风险评估与分类在识别风险之后,对每个风险进行评估和分类。
这包括对每个风险的可能性和影响程度进行评估,并根据评估结果将风险分为高、中、低等级,以便为后续的风险应对方案制定提供依据。
3. 风险减轻与控制对于识别的高风险,制定相应的风险减轻和控制措施。
这可能包括加强网络安全、加密数据、更新安全策略和流程以及培训员工等。
通过采取这些预防性的措施,可以降低风险发生的概率和损害程度。
4. 风险监控与应对实施风险监控和应对机制,定期对信息安全风险进行评估和跟踪。
这包括监测系统和网络的安全状况,及时发现并应对潜在的风险事件。
同时,制定应急预案和紧急响应措施,以应对可能的安全事件。
5. 持续改进与管理信息安全风险管理是一个持续的过程,需要不断改进和管理。
定期对风险管理措施进行评估和审查,根据实际情况做出调整和改进。
同时,加强与相关利益相关者(如员工、供应商、合作伙伴等)的合作和沟通,建立信息安全文化和意识。
总之,信息安全风险管理是保障信息系统安全和数据保护的重要手段。
通过全面评估、分类、减轻和控制风险,并建立监控和应对机制,可以有效降低信息安全风险的发生概率和损害程度,从而确保组织和个人的信息安全。
同时,持续改进和管理是保持信息系统安全的关键,需要与各方一起努力共同构建一个安全可靠的信息环境。
信息安全风险管理程序
1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3职责3.1研发中心负责牵头成立信息安全管理委员会。
3.2信息安全管理委员会负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。
3.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》5程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。
②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。
③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。
定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。
综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。
资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。
③确定信息类别信息分类按“5.9 资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。
④机密性(C)赋值➢根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
信息安全风险评估管理程序
信息安全风险评估管理程序一、概述信息安全风险评估是指对系统、网络、数据等信息资产进行全面分析和评估,识别和量化可能存在的风险,为安全管理决策提供科学依据。
信息安全风险评估管理程序是指为了实施信息安全风险评估而制定的相应程序。
二、程序内容1. 确定评估目标和范围在进行信息安全风险评估之前,应明确评估的目标和范围。
评估目标是指评估过程的目的,例如评估系统的安全性、风险管控水平等。
评估范围是指评估的具体对象和范围,例如具体的系统、网络、数据等。
2. 选择评估方法和工具根据评估目标和范围,选择适合的评估方法和工具。
常用的评估方法包括定性评估法、定量评估法、风险矩阵法等。
评估工具可以是专业的风险评估软件,也可以是自主开发的评估工具。
3. 收集必要信息收集必要的信息是进行评估的基础。
可以通过面谈、观察、文档查阅等方式收集相关信息。
需要收集的信息包括系统的功能、架构、权限管理、日志记录等。
4. 风险识别与分析在收集完相关信息后,进行风险识别与分析。
通过对信息进行全面的分析,识别可能存在的风险。
分析风险的因素包括潜在威胁、弱点、潜在损失等。
5. 风险评估与量化对识别出的风险进行评估和量化,确定其危害程度和可能发生的概率。
评估风险可以采用定性评估方法,即根据风险的重要性、严重性、可接受性等级进行评估;也可以采用定量评估方法,即通过数学模型和统计方法对风险进行量化。
6. 制定风险处理措施根据评估结果,制定针对风险的处理措施。
处理措施可以包括风险规避、风险转移、风险减轻和风险接受等策略。
制定措施时还应考虑措施的可行性、成本效益等因素。
7. 实施风险控制根据制定的风险处理措施,进行风险控制工作。
控制风险可以通过技术手段、政策制度、培训教育等方式实施。
8. 监督和评估监督和评估是信息安全风险评估管理程序的重要环节。
监督是指对风险控制措施的执行情况进行监督和检查,以确保措施的有效性。
评估是指定期对信息安全风险进行重新评估,以确定控制措施的有效性和风险状况的变化情况。
信息安全风险管理办法
信息安全风险管理办法信息安全风险管理是现代社会中重要的管理活动,在不断增长的信息化环境中,各类信息安全风险也随之增多。
为了保护个人隐私和商业机密,组织和个人必须采取有效的信息安全风险管理办法。
本文将介绍一些常见的信息安全风险管理办法,以帮助大家更好地保护信息安全。
一、风险评估与分析风险评估是信息安全风险管理的基础,通过对信息系统和数据进行全面的评估与分析,可以发现潜在的漏洞和威胁,从而采取相应的防护措施。
评估和分析的过程包括以下几个步骤:1. 确定目标和范围:明确需要评估的信息系统和数据的范围,明确评估的目标和要求。
2. 收集信息:收集相关的技术和业务信息,了解系统的运行情况和安全需求。
3. 风险识别:通过检查安全策略、控制措施和工作流程,识别出潜在的风险和威胁。
4. 风险评估:对已识别的风险进行评估,确定其可能性和影响程度。
5. 风险等级划分:根据评估结果,将风险划分为不同的等级,确定优先处理的风险。
二、访问控制管理访问控制是信息安全管理的重要手段,通过限制和监控用户对系统和数据的访问,可以有效防止未经授权的操作和信息泄露。
以下是一些常见的访问控制管理办法:1. 身份认证:通过用户名和密码、指纹识别、双因素认证等方式验证用户的身份,确保只有合法用户才能访问系统。
2. 权限管理:为每个用户分配适当的权限,限制其对系统和数据的访问范围,避免越权操作。
3. 审计日志:记录和监控用户的操作行为,及时发现异常和非法访问。
三、数据备份与恢复数据备份与恢复是应对信息安全风险的重要手段,有效的备份策略和恢复机制可以防止数据丢失和破坏。
以下是一些常见的数据备份与恢复管理办法:1. 定期备份:根据业务需求和数据重要性,制定合适的备份频率,定期对数据进行备份。
2. 离线备份:将备份数据存储在离线介质上,防止病毒攻击和物理损坏对备份数据的影响。
3. 定期恢复测试:定期进行数据恢复测试,验证备份数据的完整性和可用性,确保备份数据的有效性。
ISO27001信息安全管理体系全套程序文件
修订日期:2019.12.18修订日期:2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2 目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
3 范围本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。
4.2 策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1 各部门负责人负责本部门的信息资产识别。
4.3.2 办公室经理负责汇总、校对全公司的信息资产。
修订日期:2019.12.184.3.3 办公室负责风险评估的策划。
4.3.4 信息安全小组负责进行第一次评估与定期的再评估。
5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。
5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2 信息资产的识别5.2.1 本公司的资产范围包括:5.2.1.1信息资产1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。
信息安全风险管理实施指南
信息安全风险管理实施指南1. 什么是信息安全风险管理?好吧,咱们先来聊聊,什么叫信息安全风险管理。
想象一下,你家的大门没锁,外面有个小偷盯上了你珍贵的家当,那你肯定心里发毛,是吧?信息安全风险管理也是这么回事,它就是帮助我们找出潜在的威胁,保护我们的“宝贝”——那些重要的信息和数据。
毕竟,在这个数字化的时代,信息就像是水和空气,没有了就麻烦大了。
要是数据丢了,咱们的工作、生活,甚至是未来的计划都可能泡汤。
所以,学会怎么管好这些风险,是每个人都该掌握的“生存技能”。
1.1 风险识别首先,我们得搞清楚有哪些风险在潜伏。
就像你去市场买菜,总得先看看哪些菜新鲜,哪些菜快坏了,对吧?在信息安全的世界里,这个过程就叫做风险识别。
我们需要找出那些可能会对信息造成损害的因素,比如黑客攻击、恶意软件、数据泄露等等。
这里面的道道可多了,就像电视剧的剧情一样,千变万化。
但只要我们细心观察,总能发现蛛丝马迹,提前预警。
1.2 风险评估接下来是风险评估,这就像是在给你的菜打分。
我们得看看这些风险有多严重,会不会对我们的信息造成大损失。
评估的过程其实挺简单的,咱们可以考虑一下这些风险发生的概率,以及它们可能带来的后果。
比如说,黑客攻击的可能性高,但也许损失并不是特别严重;而数据泄露的概率较低,但一旦发生,损失就可能不堪设想。
把这些风险统统列出来,就能对它们进行一个合理的排名,心里有个底儿。
2. 风险控制说完了识别和评估,咱们得进入控制阶段,别让风险肆无忌惮地来捣乱。
风险控制就像是给你的门上个好锁,不让小偷进来。
这里面有好几种方法,咱们可以采取不同的措施来降低风险,比如加强网络安全、定期更新系统、备份数据等等。
想象一下,你的电脑像个铁桶,越厚越难被攻破,心里不就更踏实了吗?2.1 技术措施技术措施是控制风险的重要手段。
比如,咱们可以用防火墙、杀毒软件来抵挡那些潜在的攻击,像是给电脑穿上“盔甲”。
而且,别忘了定期更新这些软件,老旧的防护措施就像是破网,根本挡不住小鱼小虾。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
城云科技(杭州)有限公司信息安全风险管理程序目录信息安全风险管理程序 (1)第一章目的 (1)第二章范围 (1)第三章名词解释 (1)第四章风险评估方法 (2)第五章风险评估实施 (5)第六章风险管理要求 (24)第七章附则 (25)第八章检查要求 (25)第一章目的第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。
本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。
第二章范围第二条范围:适用于风险评估组开展各项信息安全风险评估工作。
第三章名词解释第三条资产对组织具有价值的信息或资源,是安全策略保护的对象。
第四条资产价值资产的重要程度或敏感程度的表征。
资产价值是资产的属性,也是进行资产识别的主要内容。
资产价值通过机密性、完整性和可用性三个方面评估计算获得。
(一)机密性(Confidentiality):确保只有经过授权的人才能访问信息;(二)完整性(Integrality):保护信息和信息的处理方法准确而完整;(三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。
第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。
第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
第八条信息安全评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
第九条残余风险采取了安全措施后,信息系统仍然可能存在的风险。
第四章风险评估方法第十条风险管理模型图1 风险管理模型图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。
风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。
信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险管理要素及属性之间存在着以下关系:(一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(三)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;(四)资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;(五)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(六)风险的存在及对风险的认识导出安全需求;(七)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(八)安全措施可抵御威胁,降低风险;(九)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;(十)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
第十一条风险评估模型图2 风险评估原理图风险评估的过程中主要包含信息资产(Information Asset),脆弱性(Vulnerability)、威胁(Threat)、影响(Impact)和风险(Risk)五个要素。
信息资产的基本属性是资产价值(Assets Value),脆弱性的基本属性是被威胁利用的难易程度(How Easily Exploited by Threats)、威胁的基本属性是威胁的可能性(Threat Likelihood)、影响度的基本属性是严重性(Severity),它们直接影响风险的两个属性,风险的后果(Risk Consequence)和风险的可能性(Risk Likelihood)。
其中资产价值和影响的严重性构成风险的后果,脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性,风险的后果和风险的可能性构成风险。
第十二条风险评估方法图3 风险评估方法风险评估的主要内容为:(一)对资产进行识别,并对资产的价值进行赋值;(二)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;(三)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;(四)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;(五)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;(六)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响;(七)综合分析,采用适当的方式计算风险值。
第五章风险评估实施第十三条风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。
组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
因此,在风险评估实施前应:(一)确定风险评估的目标;(二)确定风险评估的范围;(三)组建适当的评估管理与实施团队;(四)进行系统调研;(五)确定评估依据和方法(即评估列表);(六)获得最高管理者对风险评估工作的支持。
第十四条资产识别资产识别是对直接赋予了价值因而需要保护的资产进行分类和价值等级赋值。
资产分类和赋值方法可根据ISO27001体系结合组织自身情况完成,资产价值作为风险计算的输入。
第十五条威胁评估安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。
产生安全威胁的主要因素可以分为人为因素和环境因素。
人为因素包括有意因素和无意因素。
环境因素包括自然界的不可抗力因素和其它物理因素。
威胁可能是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。
威胁也可能是偶发的、或蓄意的事件。
一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
安全事件及其后果是分析威胁的重要依据。
但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全控制人员忽略。
这将导致对安全威胁的认识出现偏差。
威胁分析方法首先需要考虑威胁的来源,然后分析各种来源存在哪些威胁种类,最后做出威胁来源和威胁种类的列表进行威胁赋值。
(一)威胁来源分析信息系统的安全威胁来源可考虑以下方面:表1:威胁来源对安全威胁进行分类的方式有多种多样,针对上表威胁来源,组织信息管理部的安全威胁种类按类列举如下表所示。
威胁的编号按照类别进行划分,以字母“T”开头(Threats),第二个字母为威胁类型,例如人员威胁为TP为前缀,以“-”连接,以数字后缀为序列。
(三)威胁赋值本风险评估管理办法通过对于威胁的可能性(Likelihood)属性(*注意: 此处描述的是威胁的可能性,并不是风险的可能性,威胁要实际产生影响还要考虑脆弱性被利用的难易程度这个因素。
)进行分析赋值。
赋值取决于威胁发生的概率和威胁发生的频率。
我们用变量T来表示威胁的可能性,它可以被赋予一个数值,来表示该属性的程度。
确定威胁发生的可能性是风险评估的重要环节,评估人员应该根据经验和相关的统计数据来判断威胁发生的概率和频率。
实际评估过程中,威胁的可能性赋值需要参考下面三方面的资料和信息来源,综合考虑,形成在特定评估环境中各种威胁发生的可能性。
(1)通过评估体过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;(2)在评估体实际环境中,通过安全设备系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;(3)过去一年或两年来相关信息安全管理机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。
威胁的赋值标准参照下表:第十六条脆弱性评估脆弱性评估主要目的是评估信息资产的弱点。
通常信息资产存在的弱点主要表现在三个方面:安全控制方面、承载信息资产的IT设备方面以及处理、加工这些信息资产的应用系统方面。
因此弱点评估也主要按照这三个方面进行。
(一)脆弱性的识别脆弱性的识别和获取通过以下多种方式:工具扫描、人工分析、模拟攻击测试(Penetration Testing)、网络架构分析、业务流程分析等。
评估人员根据具体的评估对象、评估目的来选择具体的脆弱性获取方式。
在脆弱性的识别和获取必须对应前一个过程中识别出的威胁列表,不能被列表中威胁所利用的脆弱性在风险评估中没有意义,可以不进行识别。
同时,因为威胁来源可以分为内部和外部,所以脆弱性的获取方法也可以根据威胁的来源不同而选择不同的获取方式,比如从内网获取和从外网获取。
●安全控制脆弱性评估:可根据ISO 27002的14个方面对整体安全控制评估;●设备脆弱性评估:可通过网络扫描及专家人工评估方法对IT设备进行评估;●应用系统脆弱性评估:可通过对应用系统的网络构架、系统主机、数据流分析等方法进行评估。
(二)脆弱性分类脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
脆弱性的编号按照类别进行划分,以字母“V”开头(Vulnerabilities),第二个字母为脆弱性类型,例如组织管理脆弱性以VP为前缀,以“-”连接,以数字后缀为序列。
(三)脆弱性属性参照国际安全标准,本管理办法将脆弱性属性定义为脆弱性的严重性,既脆弱性被某些威胁利用后产生的影响的严重程度,(三)脆弱性赋值在CVE和业界大多数的扫描器中关于技术性脆弱性的严重性(Severity)定义中,都是指可能引发的影响的严重性,参考业界通用的脆弱性严重性等级划分标准,我们采用的等级划分标准如下:在实际评估工作中,脆弱性的值一般参考扫描工具的归类标准,并参考CVE、中国国家漏洞库等相关漏洞库标准中的说明,按照实际情况进行修正,从而获得适用的脆弱性值。
管理类的脆弱性值按照管理成熟度进行赋值。
第十七条影响评估影响的属性的评估方法主要考察一个属性:严重性。
本办法将将影响严重性分为5个等级,分别是很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。
赋值标准参照下表。
第十八条风险计算在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。
综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。
(一)风险分析方法风险分析方法可以是定性分析、半定量分析或定量分析,或者是这些分析方法的组合。
如果按递升次序将这些分析的复杂性和成本加以排列的话,将会是:定性分析、半定量、定量。
实际上,定性分析往往首先被采用,来得到风险程度的总的提示组织可根据信息管理实际评估效果、工作量、成本效益、技术复杂度和数据收集困难度等方面的考虑,选择合适的分析方法作为安全风险的计算方法。