企业网络与信息安全风险评估规范
信息安全风险评估实施细则
WORD格式XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。
另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。
本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。
主要包括:1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。
为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。
目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。
2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第4.2节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第4.3.8小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录1.前言.................................................................................................. .. (1)2.资产评估.................................................................................................. (2)2.1.资产识别.............................................................................................. (2)2.2.资产赋值.............................................................................................. (3)3.威胁评估.................................................................................................. (6)4.脆弱性评估.................................................................................................. (10)4.1.信息安全管理评估.............................................................................................. (11)4.1.1.安全方针.......................................................................................... (11)4.1.2.信息安全机构.......................................................................................... (13)4.1.3.人员安全管理.......................................................................................... (17)4.1.4.信息安全制度文件管理 (19)4.1.5.信息化建设中的安全管理 (23)4.1.6.信息安全等级保护 (2)94.1.7.信息安全评估管理 (3)24.1.8.信息安全的宣传与培训 (32)4.1.9.信息安全监督与考核 (34)4.1.10.符合性管理.......................................................................................... (36)4.2.信息安全运行维护评估 (37)4.2.1.信息系统运行管理 (3)74.2.2.资产分类管理.......................................................................................... (41)4.2.3.配置与变更管理.......................................................................................... (42)4.2.4.业务连续性管理.......................................................................................... (43)4.2.5.设备与介质安全.......................................................................................... (46)4.3.信息安全技术评估.............................................................................................. (50)4.3.1.物理安全.......................................................................................... (50)4.3.2.网络安全.......................................................................................... (53)4.3.3.操作系统安全.......................................................................................... (60)4.3.4.数据库安全.......................................................................................... (72)4.3.5.通用服务安全.......................................................................................... (81)4.3.6.应用系统安全.......................................................................................... (85)4.3.7.安全措施.......................................................................................... (90)4.3.8.数据安全及备份恢复 (94)WORD格式5.前言2.3.为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
信息安全风险评估规范
信息安全风险评估规范信息安全风险评估规范一、概述信息安全风险评估是指对组织的信息系统、网络和数据进行全面的安全风险分析和评估,以确定系统中存在的潜在威胁和漏洞,并提供相应的改进和强化措施。
本规范旨在建立一个全面、科学、规范的信息安全风险评估流程,以保护组织的信息资产和系统安全。
二、风险评估的目标1. 分析识别组织信息系统、网络和数据上的潜在威胁和风险。
2. 构建一个可靠的风险度量方法,便于比较不同风险等级的风险。
3. 提供相应的安全建议和措施,减轻风险对组织的影响。
三、风险评估的流程1. 系统审查:对目标系统的结构和运行方式进行全面分析,包括系统架构、网络拓扑、系统功能等方面。
2. 风险识别:通过对系统进行漏洞扫描、弱口令检测、网络流量分析等手段,识别系统中存在的潜在威胁和风险。
3. 风险度量:对识别出的风险进行评估和分类,确定风险的可能性和影响程度。
4. 风险评估报告:编制风险评估报告,对识别和评估的风险进行详细描述和分析,提出相应的建议和措施。
5. 风险控制:根据评估报告中的建议,制定相应的风险控制计划,对系统进行加固和改进。
四、风险度量方法1. 概率分析:通过历史数据和经验分析,计算风险事件的发生概率。
2. 影响分析:对风险事件的可能损失进行评估,包括财务损失、声誉损失、法律风险等方面。
3. 风险评级:根据概率和影响的评估结果,对风险进行相应的评级,如低风险、中风险、高风险等。
五、风险评估报告内容1. 风险概述:对系统风险的整体情况进行概括描述。
2. 风险识别和评估:详细描述识别到的风险和对其进行的评估,包括潜在威胁、可能性、影响等方面。
3. 安全建议和措施:针对每个风险提出相应的建议和措施,包括漏洞修补、访问控制加强、安全培训等方面。
4. 风险控制计划:制定风险控制计划,明确改进措施和责任人,确保风险的有效管理和控制。
六、风险评估的周期性1. 定期评估:根据组织的实际情况,制定定期的风险评估计划,进行信息系统和网络的安全风险评估。
国家标准 信息安全风险评估规范
中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A (资料性附录)风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B (资料性附录)风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言(略)IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。
运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
企业信息安全风险评估方案
企业信息安全风险评估方案知识域:信息安全风险评估•:•知识子域:风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。
在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。
3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。
当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。
信息安全风险评估规范
信息安全风险评估规范信息安全是当今社会中不可或缺的组成部分,而信息安全风险评估则是确保信息安全的重要环节。
本文将介绍信息安全风险评估的规范,以确保评估的准确性和有效性。
一、背景介绍随着信息技术的快速发展和广泛应用,信息安全问题日益凸显。
为了保护信息系统、网络和数据的完整性、可用性和保密性,信息安全风险评估应运而生。
信息安全风险评估是一种全面、系统评估信息系统及其相关成果的安全风险程度的方法。
二、目的和原则信息安全风险评估的主要目的是帮助组织识别、量化和处理信息安全风险,为信息安全管理和决策提供科学依据。
在进行信息安全风险评估时,应遵循以下原则:1. 全面性原则:评估应考虑所有信息系统组成部分的风险。
2. 可行性原则:评估应基于可行的数据和信息。
3. 风险导向原则:评估应该关注重要风险和脆弱性。
4. 及时性原则:评估应随着信息系统的变化和演化进行更新。
5. 可重复性原则:评估应基于可重复的过程和方法。
三、评估过程信息安全风险评估通常包括以下步骤:1. 确定评估范围:明确评估的目标、范围和评估对象,包括信息系统、网络、数据等。
2. 收集信息:通过调查、采访和检查等方式收集与评估对象相关的信息。
3. 风险识别:通过对系统进行分析和检测,识别潜在风险和脆弱性。
4. 风险分析:评估识别到的风险的潜在影响和可能性。
5. 风险评估:根据风险分析的结果,评估风险的严重性和紧急性。
6. 风险处理:针对评估结果制定风险处理策略和措施。
7. 监控和审计:对已实施的风险处理措施进行监控和审计,并进行反馈和改进。
四、输出结果信息安全风险评估的最终输出应包括以下内容:1. 评估报告:详细阐述评估所得到的风险信息、分析结果和评估结论。
2. 风险等级:对评估结果进行分级,确定不同风险的优先级。
3. 处理建议:根据评估结果提出相应的风险处理措施和建议。
4. 监控计划:制定监控风险处理措施的计划,并明确监控指标和频率。
5. 改进措施:根据评估结果总结经验教训,提出改进信息安全的措施。
信息安全风险评估规范
信息安全风险评估规范信息安全风险评估是指对信息系统可能面临的各种威胁和风险进行评估、分析和判断,并提出相应的控制措施和风险管理策略的过程。
为了确保评估结果的准确性和规范性,需要按照一定的规范进行评估工作。
本文将介绍信息安全风险评估的一般规范。
一、目的和范围信息安全风险评估的目的是确定信息系统可能面临的各种威胁和风险,并提供科学的决策依据,指导安全控制措施的制定和实施。
评估的范围应包括信息系统的硬件、软件、网络设备、通信设备、人员和相关的物理环境等方面。
二、评估方法评估方法应采用科学合理的方法,包括但不限于:1. 目标与需求分析:明确评估的目标、范围和需求,确保评估活动与业务需求相一致。
2. 风险识别和辨识:梳理信息系统中的各种威胁和风险,建立识别风险的方法和标准。
3. 风险分析和评估:对已识别的风险进行定性和定量分析,评估风险的可能性和影响程度,并确定其优先级。
三、评估内容评估内容包括但不限于:1. 信息系统的功能和性能:评估信息系统的功能是否满足用户需求,性能是否稳定。
2. 数据的完整性和可用性:评估数据的完整性和可用性,识别数据丢失、篡改和破坏的风险。
3. 系统的机密性和隐私性:评估系统的机密性和隐私性,识别数据泄露和未授权访问的风险。
4. 系统的可靠性和可恢复性:评估系统的可靠性和可恢复性,识别系统故障和灾难恢复的风险。
5. 人员的安全意识和行为:评估人员的安全意识和行为,识别人为因素导致的风险。
四、评估结果评估结果应包括风险的等级和推荐的控制措施。
风险的等级可以采用定性、定量或者符号化的方式表示,以便于管理者做出决策。
推荐的控制措施应根据风险的等级和实际情况来确定,可以包括技术控制、人员控制和制度控制等方面。
五、风险管理策略根据评估结果,制定相应的风险管理策略,包括但不限于:1. 风险避免:通过合理的规划和设计,尽量避免风险的发生。
2. 风险转移:通过购买保险或签订合同等方式,将风险转移给第三方。
信息安全风险评估管理制度
信息安全风险评估管理制度第一章:总则为了保障公司的信息安全,合理评估和管理信息系统中存在的风险,提高信息资产的保护水平,依法合规运营企业,订立本《信息安全风险评估管理制度》。
第二章:评估管理机构第一节:评估管理机构的组织设置1.公司信息技术部门负责评估管理机构的组织设置和日常工作协调。
2.评估管理机构由信息技术部门安全团队负责,成员包含信息技术部门员工和相关职能部门的代表。
第二节:评估管理机构的职责1.组织和协调信息安全风险评估工作。
2.研究、订立和完善信息安全风险评估的流程和方法。
3.监督和检查各部门的信息安全风险评估工作。
4.帮助各部门解决评估工作中的问题和难题。
5.定期向公司领导层报告信息安全风险评估情况。
第三节:评估管理机构的权利和义务1.评估管理机构有权要求各部门供应相关评估料子和数据。
2.评估管理机构有权对各部门的评估工作进行抽查和复核。
3.评估管理机构应当乐观搭配其他部门开展信息安全教育和培训工作。
4.评估管理机构应当保守评估过程中涉及的信息,对评估结果保密。
5.评估管理机构应当定期对评估流程和方法进行总结和改进。
第三章:评估工作流程第一节:评估目标确定1.各部门依照公司确定的评估周期和要求,订立评估目标。
2.评估目标应当明确、具体、可衡量,涵盖系统、网络、应用、设备和数据等方面。
3.评估目标应当与公司的信息安全政策和目标相全都。
第二节:评估范围确定1.各部门依照评估目标,确定评估范围。
2.评估范围应当包含系统、网络、应用、设备和数据等关键要素。
3.评估范围应当掩盖公司内部和外部的信息安全风险。
第三节:评估方法选择1.各部门综合考虑评估范围和目标,选择适合的评估方法。
2.评估方法包含但不限于自查、抽查、外部审核等方式。
3.评估方法应当科学、合理、公正,确保评估结果准确有效。
第四节:评估过程实施1.各部门依照评估方法,组织评估过程的实施。
2.评估过程应当全面、细致、严谨,确保掩盖评估范围的关键要素。
2020年省级基础电信企业网络与信息安全工作考核要点与评分标准
(2)日志留存准确率:应不小于99%,每降低一个百分点扣3分。
(3)留存内容:应留存完整的日志记录,不满足的扣5分(注2)。
2.因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣25分,被处罚一次扣50分(注2)。
3.发生违规接入特通系统事件的,发生一次扣50分。
4.违反特通保密管理制度,发生泄密事件的,发生一次扣50分。
5.发生违规开展通信管制的,发生一次扣50分。
注1:参见《工业和信息化部关于印发<公共互联网网络安全突发事件应急预案>的通知》(工信部网安〔2017〕281号),包括网络中断、系统瘫痪、网络数据及用户个人信息泄露等情况。
(2)木马、病毒和僵尸网络的监测能力覆盖城域网出口抽样流量及重点工业互联网企业专线流量,总带宽不低于省网出入口带宽7%;发现不满足覆盖要求,扣5分。
(3)移动恶意程序的监测和处置能力应覆盖2G/3G/4G/5G(NSA)网络;发现不满足覆盖要求,扣5分。
注1:技术测试由各管局自行或委托相关单位开展。
(五)网络安全服务规范
依据《网络安全法》及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,规范安全服务管理,防范服务过程中的风险。
采购未通过网络安全服务能力评定的机构提供的安全服务的,每发现1个扣3分(注1)。
注1:安全服务是指网络安全设计与集成、风险评估、应急响应、安全培训服务
(三)网络安全远程检测及现场抽查
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业网络与信息安全风险评估规范目录第一章总则 (3)第二章风险评估原则 (5)第三章风险评估模型 (5)第四章风险评估策略 (9)第五章风险评估过程框架 (11)第六章风险评估手段 (15)第七章文档要求 (16)第八章项目管理 (17)第一章总则第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作,是实现网络与信息系统安全水平持续改进的重要手段。
为了指导、规范和促进各单位开展网络与信息安全风险评估工作,加强网络与信息安全的全过程动态管理,进一步提高网络与信息安全保障水平,特制定本规范。
第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析,并根据风险分析结论提出安全建议的过程。
第三条通过对网络与信息系统(以下简称信息系统)进行安全评估,至少应该达到以下目标:(一)掌握信息系统的安全现状和面临的安全风险;(二)明确信息系统面对的主要风险以及这些风险产生的原因;(三)为信息系统的建设、运行、维护、使用和改进提供安全性建议。
(四)改进与完善企业现有安全策略,实施有效的信息系统风险管理,加强重要信息系统的安全保障。
第四条本规范适用于国家电网公司系统各单位,用于指导各单位信息安全评估项目的开展和实施。
第五条名词解释使命:一个组织通过信息化实现的工作任务。
信息资产:在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。
价值:指信息资产对信息系统的重要程度,以及对信息系统为完成组织使命的重要程度。
威胁:信息资产可能受到的来自内部和来自外部的安全侵害。
脆弱性:信息资产及其防护措施在安全方面的不足,通常也称为漏洞。
风险:是指人为或自然的威胁利用信息系统存在的脆弱性,从而导致信息安全事件发生的可能性及其影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全措施:为对付威胁,减少脆弱点,保护资产,限制意外事件的影响,检测和响应意外事件,促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。
安全防护需求:指为保证信息系统能够正常使用,在信息安全防护措施方面的要求。
第二章风险评估原则第六条完整性原则根据“木桶原理”,为了保证评估取得预期结果,应当综合评估信息系统对象本身及其相关的安全措施、人员、管理等方面,技术层面的评估与管理层面的评估相结合,全面反映信息系统安全状态,确保评估范围的完整、评估内容的全面和评估流程的完整。
第七条标准化原则认真遵循有关国际和国内标准制定评估要求、编写评估方案、安排评估流程,严格按照预先定义的实施方案开展安全评估和进行评估工作的管理,确保评估定义过程、操作流程和操作方法的规范性。
第八条最小影响原则信息安全风险评估的部分工作内容可能会对信息系统的运行带来负面影响。
必须设计合理与灵活的风险评估实施方案,对可能造成这些影响的工作内容进行有效管理,把评估对信息系统与业务可能造成的影响降低到最低限度。
第三章风险评估模型第九条风险关系模型风险关系模型以风险为中心描述了信息资产所面临的风险、漏洞、威胁及其相应的复杂关系,用以指导风险评估和风险分析的实施。
模型中各要素及其关系如图一所示:图一风险关系模型图一对风险要素间的关系进行了动态的描述,反映了资产所面临的安全风险与其它各个要素之间相互作用的内在联系,相互间的主要关系如下:(一)资产具有价值,同时资产存在着漏洞;(二)漏洞使资产暴露在威胁面前,漏洞越大资产暴露的可能性就越大;(三)威胁利用信息系统存在的漏洞(如:物理环境、网络服务、主机系统、应用系统、安全相关人员、安全策略等)对信息系统进行渗透和攻击;(四)资产的暴露(例如系统高级管理人员由于不小心而导致重要机密信息的泄露)使得威胁有可能对资产的价值产生影响(包括直接和和间接的影响);(五)风险就是威胁利用脆弱点使资产暴露而对资产价值产生的影响的可能性,风险的大小由资产价值的重要性和敏感性所决定;(六)对信息系统安全风险的分析,导致信息系统的安全需求的提出;(七)根据不同的安全需求选择适当的安全措施,制定合理的信息安全解决方案对风险进行控制,进而降低安全风险,防范威胁。
第十条风险要素属性基本风险要素的属性决定了各要素对风险产生作用情况。
对各风险要素的属性进行分析,将可明确风险是如何由这些要素来决定的。
(一)威胁对信息系统有潜在的破坏,作为潜在的威胁,其发生具有可能性。
如果一个威胁发生了,它会以某种方式导致发生有害事件,并产生不利影响,因此威胁具有影响。
(二)漏洞越严重,就越容易被威胁利用,进而增加资产面临的风险,因此漏洞具有严重性(被利用的难易程度)。
(三)信息资产具有价值,这种价值体现在当信息资产泄漏、被破坏或不可使用时,会造成资产的拥有者利益和信誉上的损失。
因此,资产通过价值间接的具有机密性、完整性和可用性三个属性。
(四)风险是未发生并且有可能发生的事物,因此风险具有可能性。
风险一旦发生将对资产造成影响,因此风险后果具有影响性。
(五)根据对风险要素间动态关系的分析可以看到:风险是从威胁发起的,威胁发生的可能性越大,资产面临的风险越大;威胁总要利用漏洞来对资产价值产生影响,漏洞越严重风险越大;另外,在威胁可能性和漏洞严重程度一定的情况下,资产的价值越高,其面临的风险也越大。
因此,风险的可能性是由资产面临的威胁的可能性和资产存在的漏洞的严重性决定的,而风险产生的影响是由资产的价值和威胁的影响决定的。
第十一条风险的计算根据风险关系和风险要素属性,信息资产风险的可能性是面临的威胁的可能性和资产存在的薄弱性的函数,而风险的后果是资产的价值和威胁的影响的函数。
而量化的风险值是风险的可能性与风险的后果的函数。
第四章风险评估策略第十二条信息安全风险评估作为信息安全风险管理的基本内容,是信息安全管理策略的重要内容。
在进行任何风险评估工作前,应根据信息安全管理工作的具体情况和要求选择风险评估策略,并在此策略的指导下对本单位的信息系统进行有组织的评估。
第十三条信息安全风险评估策略包括安全审计、简单风险评估和专业风险评估三种方法。
这三种评估方法之间的根本差别在于评估的范围和深度不同。
第十四条安全审计。
安全审计的方式适用于在已经建立了信息安全体系后进行信息安全运行考核的情况。
安全审计的内容为自定义的信息安全考核与审计标准、上级单位要求的安全审计内容或信息系统安全要求等内容。
安全审计是对现行信息安全体系落实和执行情况的符合性检查,主要针对信息安全体系运行、维护和日常管理制度执行情况等方面的检查。
各单位可根据自己信息安全体系的实施的情况对审计内容进行定义、自行进行数据统计和分析。
在此基础上,对本单位信息安全体系中的管理和技术措施提出改进建议。
第十五条简单风险评估简单风险评估是为了明确在短期内(半年至一年)信息系统面临的安全风险,由各单位通过人工和评估工具对信息系统进行范围有限、内容典型的安全性检查,是自评估较常采用的一种形式。
其评估范围可以为某一信息系统,也可以针对单个的主机或网络设备。
简单风险评估的流程,根据实际情况可以适当精简。
第十六条专业风险评估专业风险评估是在有关专家组或专业信息安全服务机构的技术支持下进行的风险评估。
专业风险评估通过全面的、大范围的抽样来保证评估的完整性。
在信息系统发生大的变化、信息安全体系运行较长时间(二到三年)后以及制定信息安全专题规划前需要进行专业风险评估。
通过专业风险评估,可以客观和准确的掌握当前信息系统的面临的风险情况,为进一步的完善信息安全体系和系统改造提供技术上的支持。
专业风险评估必须保证范围的完整和数据分析深度。
在完成现场的风险数据采集后,组织有关专家或机构进行详细的风险分析,并提供全面的安全建议。
第五章风险评估过程框架第十七条基本评估流程信息安全风险评估主要是对各风险要素属性的识别、统计、计算和分析的过程,包括确定评估范围、资产评估、风险分析、风险控制四个步骤。
风险分析过程又分为:威胁的识别与赋值、漏洞的发现与赋值、现有安全措施识别、整体风险的计算与评价。
信息安全风险评估框架如图 2 所示:图2 信息安全风险评估过程框架(一)确定评估范围主要从以下四个方面确定评估的范围:1、主机和信息网络等基础设施包括通信网络、调度数据网络、管理信息网络、系统主机、机房辅助设备的架构、边界、配置和管理等。
2、系统软件、应用系统及服务包括系统软件的配置和管理,网络应用服务的配置和管理,生产、经营、管理、服务和决策各方面的业务应用信息系统的安全设计、业务流程与接口以及远行、维护、使用的安全管理。
3、现有的安全技术措施包括防火墙、防病毒、入侵检测及其它安全管理系统,着重是对这些系统的配置和管理进行评估。
4、现有的安全管理措施包括相关安全管理机构、岗位职责、人员配备、安全管理制度、信息系统相关人员的安全意识等。
评估范围的选取要根据具体评估工作的要求进行,确保选定的评估范围是完整的和有效的,并且通过对选定范围的评估能够达到评估工作的目标。
(二)资产评估1、资产识别资产识别是对信息资产分类标记的过程,可以参照ISO/IEC 13334 和ISO/IEC 17799 等标准中对信息资产的描述和定义。
2、资产赋值根据资产属性定义,信息资产分别具有机密性、完整性和可用性三方面的属性。
通过综合考虑资产在三个属性方面的价值体现能够对一个资产的价值进行完整的估定。
不同资产在这三方面赋值会有不同,从而反映出资产对安全措施需求的不同。
(三)风险分析1、威胁评估通过技术手段(例如入侵检测)、统计数据和经验来确定信息系统的威胁,一方面确定对应信息资产所面临的威胁源,另一方面要确定威胁的严重程度和发生的频率。
对威胁的赋值要综合考虑威胁的影响和可能性。
2、脆弱性评估对于信息系统脆弱性的评估分为技术漏洞和管理漏洞两个方面。
对于技术漏洞的评估主要采用网络扫描、主机安全人工审核等方式,管理方面的漏洞主要通过人工访谈和调查问卷来发现。
漏洞的赋值参照国际通用的赋值方法,在实际工作中可根据不同信息系统的情况对漏洞的严重性和被利用的可能性进行必要的调整。
脆弱性的严重级别随着时间的推移有可能发生变化。
当某一漏洞随着技术的突破,变得更加容易被利用或产生更为严重的后果时,漏洞的风险等级就会被提升。
另外,对于不同的威胁源,漏洞的严重程度也会不同。
3、现有安全措施的识别现有安全措施评估包括对当前已部署的安全措施和规划中的安全措施的评估两项内容。
通过对现有安全措施的评估识别出现已部署的和已经规划的安全防护措施是否合理,以及这些安全措施的使用是否达到了部署的目的。
对现有和规划中的安全措施进行列表,并审核它们的执行和使用状况是现有安全措施评估的主要方法。
4 整体风险计算与评价在完成资产识别、威胁分析和脆弱性评估后,按照风险计算方法计算出不同资产面临的风险。